1bb922faa0ce8bd7ca6e85595dfb12605f89ee8a
[users/heiko/exim.git] / src / src / tls-openssl.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Portions Copyright (c) The OpenSSL Project 1999 */
9
10 /* This module provides the TLS (aka SSL) support for Exim using the OpenSSL
11 library. It is #included into the tls.c file when that library is used. The
12 code herein is based on a patch that was originally contributed by Steve
13 Haslam. It was adapted from stunnel, a GPL program by Michal Trojnara.
14
15 No cryptographic code is included in Exim. All this module does is to call
16 functions from the OpenSSL library. */
17
18
19 /* Heading stuff */
20
21 #include <openssl/lhash.h>
22 #include <openssl/ssl.h>
23 #include <openssl/err.h>
24 #include <openssl/rand.h>
25 #ifndef OPENSSL_NO_ECDH
26 # include <openssl/ec.h>
27 #endif
28 #ifndef DISABLE_OCSP
29 # include <openssl/ocsp.h>
30 #endif
31 #ifdef EXPERIMENTAL_DANE
32 # include <danessl.h>
33 #endif
34
35
36 #ifndef DISABLE_OCSP
37 # define EXIM_OCSP_SKEW_SECONDS (300L)
38 # define EXIM_OCSP_MAX_AGE (-1L)
39 #endif
40
41 #if OPENSSL_VERSION_NUMBER >= 0x0090806fL && !defined(OPENSSL_NO_TLSEXT)
42 # define EXIM_HAVE_OPENSSL_TLSEXT
43 #endif
44
45 /*
46  * X509_check_host provides sane certificate hostname checking, but was added
47  * to OpenSSL late, after other projects forked off the code-base.  So in
48  * addition to guarding against the base version number, beware that LibreSSL
49  * does not (at this time) support this function.
50  *
51  * If LibreSSL gains a different API, perhaps via libtls, then we'll probably
52  * opt to disentangle and ask a LibreSSL user to provide glue for a third
53  * crypto provider for libtls instead of continuing to tie the OpenSSL glue
54  * into even twistier knots.  If LibreSSL gains the same API, we can just
55  * change this guard and punt the issue for a while longer.
56  */
57 #ifndef LIBRESSL_VERSION_NUMBER
58 # if OPENSSL_VERSION_NUMBER >= 0x010100000L
59 #  define EXIM_HAVE_OPENSSL_CHECKHOST
60 # endif
61 # if OPENSSL_VERSION_NUMBER >= 0x010000000L \
62     && (OPENSSL_VERSION_NUMBER & 0x0000ff000L) >= 0x000002000L
63 #  define EXIM_HAVE_OPENSSL_CHECKHOST
64 # endif
65
66 # if !defined(OPENSSL_NO_ECDH)
67 #  if OPENSSL_VERSION_NUMBER >= 0x0090800fL
68 #   define EXIM_HAVE_ECDH
69 #  endif
70 #  if OPENSSL_VERSION_NUMBER >= 0x10002000L
71 #   define EXIM_HAVE_OPENSSL_ECDH_AUTO
72 #   define EXIM_HAVE_OPENSSL_EC_NIST2NID
73 #  endif
74 # endif
75 #endif
76
77 #if !defined(EXIM_HAVE_OPENSSL_TLSEXT) && !defined(DISABLE_OCSP)
78 # warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
79 # define DISABLE_OCSP
80 #endif
81
82 /* Structure for collecting random data for seeding. */
83
84 typedef struct randstuff {
85   struct timeval tv;
86   pid_t          p;
87 } randstuff;
88
89 /* Local static variables */
90
91 static BOOL client_verify_callback_called = FALSE;
92 static BOOL server_verify_callback_called = FALSE;
93 static const uschar *sid_ctx = US"exim";
94
95 /* We have three different contexts to care about.
96
97 Simple case: client, `client_ctx`
98  As a client, we can be doing a callout or cut-through delivery while receiving
99  a message.  So we have a client context, which should have options initialised
100  from the SMTP Transport.
101
102 Server:
103  There are two cases: with and without ServerNameIndication from the client.
104  Given TLS SNI, we can be using different keys, certs and various other
105  configuration settings, because they're re-expanded with $tls_sni set.  This
106  allows vhosting with TLS.  This SNI is sent in the handshake.
107  A client might not send SNI, so we need a fallback, and an initial setup too.
108  So as a server, we start out using `server_ctx`.
109  If SNI is sent by the client, then we as server, mid-negotiation, try to clone
110  `server_sni` from `server_ctx` and then initialise settings by re-expanding
111  configuration.
112 */
113
114 static SSL_CTX *client_ctx = NULL;
115 static SSL_CTX *server_ctx = NULL;
116 static SSL     *client_ssl = NULL;
117 static SSL     *server_ssl = NULL;
118
119 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
120 static SSL_CTX *server_sni = NULL;
121 #endif
122
123 static char ssl_errstring[256];
124
125 static int  ssl_session_timeout = 200;
126 static BOOL client_verify_optional = FALSE;
127 static BOOL server_verify_optional = FALSE;
128
129 static BOOL reexpand_tls_files_for_sni = FALSE;
130
131
132 typedef struct tls_ext_ctx_cb {
133   uschar *certificate;
134   uschar *privatekey;
135 #ifndef DISABLE_OCSP
136   BOOL is_server;
137   union {
138     struct {
139       uschar        *file;
140       uschar        *file_expanded;
141       OCSP_RESPONSE *response;
142     } server;
143     struct {
144       X509_STORE    *verify_store;      /* non-null if status requested */
145       BOOL          verify_required;
146     } client;
147   } u_ocsp;
148 #endif
149   uschar *dhparam;
150   /* these are cached from first expand */
151   uschar *server_cipher_list;
152   /* only passed down to tls_error: */
153   host_item *host;
154   const uschar * verify_cert_hostnames;
155 #ifndef DISABLE_EVENT
156   uschar * event_action;
157 #endif
158 } tls_ext_ctx_cb;
159
160 /* should figure out a cleanup of API to handle state preserved per
161 implementation, for various reasons, which can be void * in the APIs.
162 For now, we hack around it. */
163 tls_ext_ctx_cb *client_static_cbinfo = NULL;
164 tls_ext_ctx_cb *server_static_cbinfo = NULL;
165
166 static int
167 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
168     int (*cert_vfy_cb)(int, X509_STORE_CTX *) );
169
170 /* Callbacks */
171 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
172 static int tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg);
173 #endif
174 #ifndef DISABLE_OCSP
175 static int tls_server_stapling_cb(SSL *s, void *arg);
176 #endif
177
178
179 /*************************************************
180 *               Handle TLS error                 *
181 *************************************************/
182
183 /* Called from lots of places when errors occur before actually starting to do
184 the TLS handshake, that is, while the session is still in clear. Always returns
185 DEFER for a server and FAIL for a client so that most calls can use "return
186 tls_error(...)" to do this processing and then give an appropriate return. A
187 single function is used for both server and client, because it is called from
188 some shared functions.
189
190 Argument:
191   prefix    text to include in the logged error
192   host      NULL if setting up a server;
193             the connected host if setting up a client
194   msg       error message or NULL if we should ask OpenSSL
195
196 Returns:    OK/DEFER/FAIL
197 */
198
199 static int
200 tls_error(uschar * prefix, const host_item * host, uschar *  msg)
201 {
202 if (!msg)
203   {
204   ERR_error_string(ERR_get_error(), ssl_errstring);
205   msg = (uschar *)ssl_errstring;
206   }
207
208 if (host)
209   {
210   log_write(0, LOG_MAIN, "H=%s [%s] TLS error on connection (%s): %s",
211     host->name, host->address, prefix, msg);
212   return FAIL;
213   }
214 else
215   {
216   uschar *conn_info = smtp_get_connection_info();
217   if (Ustrncmp(conn_info, US"SMTP ", 5) == 0)
218     conn_info += 5;
219   /* I'd like to get separated H= here, but too hard for now */
220   log_write(0, LOG_MAIN, "TLS error on %s (%s): %s",
221     conn_info, prefix, msg);
222   return DEFER;
223   }
224 }
225
226
227
228 /*************************************************
229 *        Callback to generate RSA key            *
230 *************************************************/
231
232 /*
233 Arguments:
234   s          SSL connection
235   export     not used
236   keylength  keylength
237
238 Returns:     pointer to generated key
239 */
240
241 static RSA *
242 rsa_callback(SSL *s, int export, int keylength)
243 {
244 RSA *rsa_key;
245 export = export;     /* Shut picky compilers up */
246 DEBUG(D_tls) debug_printf("Generating %d bit RSA key...\n", keylength);
247 rsa_key = RSA_generate_key(keylength, RSA_F4, NULL, NULL);
248 if (rsa_key == NULL)
249   {
250   ERR_error_string(ERR_get_error(), ssl_errstring);
251   log_write(0, LOG_MAIN|LOG_PANIC, "TLS error (RSA_generate_key): %s",
252     ssl_errstring);
253   return NULL;
254   }
255 return rsa_key;
256 }
257
258
259
260 /* Extreme debug
261 #ifndef DISABLE_OCSP
262 void
263 x509_store_dump_cert_s_names(X509_STORE * store)
264 {
265 STACK_OF(X509_OBJECT) * roots= store->objs;
266 int i;
267 static uschar name[256];
268
269 for(i= 0; i<sk_X509_OBJECT_num(roots); i++)
270   {
271   X509_OBJECT * tmp_obj= sk_X509_OBJECT_value(roots, i);
272   if(tmp_obj->type == X509_LU_X509)
273     {
274     X509 * current_cert= tmp_obj->data.x509;
275     X509_NAME_oneline(X509_get_subject_name(current_cert), CS name, sizeof(name));
276         name[sizeof(name)-1] = '\0';
277     debug_printf(" %s\n", name);
278     }
279   }
280 }
281 #endif
282 */
283
284
285 #ifndef DISABLE_EVENT
286 static int
287 verify_event(tls_support * tlsp, X509 * cert, int depth, const uschar * dn,
288   BOOL *calledp, const BOOL *optionalp, const uschar * what)
289 {
290 uschar * ev;
291 uschar * yield;
292 X509 * old_cert;
293
294 ev = tlsp == &tls_out ? client_static_cbinfo->event_action : event_action;
295 if (ev)
296   {
297   DEBUG(D_tls) debug_printf("verify_event: %s %d\n", what, depth);
298   old_cert = tlsp->peercert;
299   tlsp->peercert = X509_dup(cert);
300   /* NB we do not bother setting peerdn */
301   if ((yield = event_raise(ev, US"tls:cert", string_sprintf("%d", depth))))
302     {
303     log_write(0, LOG_MAIN, "[%s] %s verify denied by event-action: "
304                 "depth=%d cert=%s: %s",
305               tlsp == &tls_out ? deliver_host_address : sender_host_address,
306               what, depth, dn, yield);
307     *calledp = TRUE;
308     if (!*optionalp)
309       {
310       if (old_cert) tlsp->peercert = old_cert;  /* restore 1st failing cert */
311       return 1;                     /* reject (leaving peercert set) */
312       }
313     DEBUG(D_tls) debug_printf("Event-action verify failure overridden "
314       "(host in tls_try_verify_hosts)\n");
315     }
316   X509_free(tlsp->peercert);
317   tlsp->peercert = old_cert;
318   }
319 return 0;
320 }
321 #endif
322
323 /*************************************************
324 *        Callback for verification               *
325 *************************************************/
326
327 /* The SSL library does certificate verification if set up to do so. This
328 callback has the current yes/no state is in "state". If verification succeeded,
329 we set the certificate-verified flag. If verification failed, what happens
330 depends on whether the client is required to present a verifiable certificate
331 or not.
332
333 If verification is optional, we change the state to yes, but still log the
334 verification error. For some reason (it really would help to have proper
335 documentation of OpenSSL), this callback function then gets called again, this
336 time with state = 1.  We must take care not to set the private verified flag on
337 the second time through.
338
339 Note: this function is not called if the client fails to present a certificate
340 when asked. We get here only if a certificate has been received. Handling of
341 optional verification for this case is done when requesting SSL to verify, by
342 setting SSL_VERIFY_FAIL_IF_NO_PEER_CERT in the non-optional case.
343
344 May be called multiple times for different issues with a certificate, even
345 for a given "depth" in the certificate chain.
346
347 Arguments:
348   preverify_ok current yes/no state as 1/0
349   x509ctx      certificate information.
350   tlsp         per-direction (client vs. server) support data
351   calledp      has-been-called flag
352   optionalp    verification-is-optional flag
353
354 Returns:     0 if verification should fail, otherwise 1
355 */
356
357 static int
358 verify_callback(int preverify_ok, X509_STORE_CTX *x509ctx,
359   tls_support *tlsp, BOOL *calledp, BOOL *optionalp)
360 {
361 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
362 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
363 uschar dn[256];
364
365 X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn));
366 dn[sizeof(dn)-1] = '\0';
367
368 if (preverify_ok == 0)
369   {
370   log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
371         tlsp == &tls_out ? deliver_host_address : sender_host_address,
372     depth,
373     X509_verify_cert_error_string(X509_STORE_CTX_get_error(x509ctx)),
374     dn);
375   *calledp = TRUE;
376   if (!*optionalp)
377     {
378     if (!tlsp->peercert)
379       tlsp->peercert = X509_dup(cert);  /* record failing cert */
380     return 0;                           /* reject */
381     }
382   DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
383     "tls_try_verify_hosts)\n");
384   }
385
386 else if (depth != 0)
387   {
388   DEBUG(D_tls) debug_printf("SSL verify ok: depth=%d SN=%s\n", depth, dn);
389 #ifndef DISABLE_OCSP
390   if (tlsp == &tls_out && client_static_cbinfo->u_ocsp.client.verify_store)
391     {   /* client, wanting stapling  */
392     /* Add the server cert's signing chain as the one
393     for the verification of the OCSP stapled information. */
394
395     if (!X509_STORE_add_cert(client_static_cbinfo->u_ocsp.client.verify_store,
396                              cert))
397       ERR_clear_error();
398     }
399 #endif
400 #ifndef DISABLE_EVENT
401     if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
402       return 0;                         /* reject, with peercert set */
403 #endif
404   }
405 else
406   {
407   const uschar * verify_cert_hostnames;
408
409   if (  tlsp == &tls_out
410      && ((verify_cert_hostnames = client_static_cbinfo->verify_cert_hostnames)))
411         /* client, wanting hostname check */
412     {
413
414 #ifdef EXIM_HAVE_OPENSSL_CHECKHOST
415 # ifndef X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
416 #  define X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS 0
417 # endif
418 # ifndef X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS
419 #  define X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS 0
420 # endif
421     int sep = 0;
422     const uschar * list = verify_cert_hostnames;
423     uschar * name;
424     int rc;
425     while ((name = string_nextinlist(&list, &sep, NULL, 0)))
426       if ((rc = X509_check_host(cert, CCS name, 0,
427                   X509_CHECK_FLAG_NO_PARTIAL_WILDCARDS
428                   | X509_CHECK_FLAG_SINGLE_LABEL_SUBDOMAINS,
429                   NULL)))
430         {
431         if (rc < 0)
432           {
433           log_write(0, LOG_MAIN, "[%s] SSL verify error: internal error",
434                 tlsp == &tls_out ? deliver_host_address : sender_host_address);
435           name = NULL;
436           }
437         break;
438         }
439     if (!name)
440 #else
441     if (!tls_is_name_for_cert(verify_cert_hostnames, cert))
442 #endif
443       {
444       log_write(0, LOG_MAIN,
445                 "[%s] SSL verify error: certificate name mismatch: \"%s\"",
446                 tlsp == &tls_out ? deliver_host_address : sender_host_address,
447                 dn);
448       *calledp = TRUE;
449       if (!*optionalp)
450         {
451         if (!tlsp->peercert)
452           tlsp->peercert = X509_dup(cert);      /* record failing cert */
453         return 0;                               /* reject */
454         }
455       DEBUG(D_tls) debug_printf("SSL verify failure overridden (host in "
456         "tls_try_verify_hosts)\n");
457       }
458     }
459
460 #ifndef DISABLE_EVENT
461   if (verify_event(tlsp, cert, depth, dn, calledp, optionalp, US"SSL"))
462     return 0;                           /* reject, with peercert set */
463 #endif
464
465   DEBUG(D_tls) debug_printf("SSL%s verify ok: depth=0 SN=%s\n",
466     *calledp ? "" : " authenticated", dn);
467   if (!*calledp) tlsp->certificate_verified = TRUE;
468   *calledp = TRUE;
469   }
470
471 return 1;   /* accept, at least for this level */
472 }
473
474 static int
475 verify_callback_client(int preverify_ok, X509_STORE_CTX *x509ctx)
476 {
477 return verify_callback(preverify_ok, x509ctx, &tls_out,
478   &client_verify_callback_called, &client_verify_optional);
479 }
480
481 static int
482 verify_callback_server(int preverify_ok, X509_STORE_CTX *x509ctx)
483 {
484 return verify_callback(preverify_ok, x509ctx, &tls_in,
485   &server_verify_callback_called, &server_verify_optional);
486 }
487
488
489 #ifdef EXPERIMENTAL_DANE
490
491 /* This gets called *by* the dane library verify callback, which interposes
492 itself.
493 */
494 static int
495 verify_callback_client_dane(int preverify_ok, X509_STORE_CTX * x509ctx)
496 {
497 X509 * cert = X509_STORE_CTX_get_current_cert(x509ctx);
498 uschar dn[256];
499 #ifndef DISABLE_EVENT
500 int depth = X509_STORE_CTX_get_error_depth(x509ctx);
501 BOOL dummy_called, optional = FALSE;
502 #endif
503
504 X509_NAME_oneline(X509_get_subject_name(cert), CS dn, sizeof(dn));
505 dn[sizeof(dn)-1] = '\0';
506
507 DEBUG(D_tls) debug_printf("verify_callback_client_dane: %s depth %d %s\n",
508   preverify_ok ? "ok":"BAD", depth, dn);
509
510 #ifndef DISABLE_EVENT
511   if (verify_event(&tls_out, cert, depth, dn,
512           &dummy_called, &optional, US"DANE"))
513     return 0;                           /* reject, with peercert set */
514 #endif
515
516 if (preverify_ok == 1)
517   tls_out.dane_verified =
518   tls_out.certificate_verified = TRUE;
519 else
520   {
521   int err = X509_STORE_CTX_get_error(x509ctx);
522   DEBUG(D_tls)
523     debug_printf(" - err %d '%s'\n", err, X509_verify_cert_error_string(err));
524   if (err = X509_V_ERR_APPLICATION_VERIFICATION)
525     preverify_ok = 1;
526   }
527 return preverify_ok;
528 }
529
530 #endif  /*EXPERIMENTAL_DANE*/
531
532
533 /*************************************************
534 *           Information callback                 *
535 *************************************************/
536
537 /* The SSL library functions call this from time to time to indicate what they
538 are doing. We copy the string to the debugging output when TLS debugging has
539 been requested.
540
541 Arguments:
542   s         the SSL connection
543   where
544   ret
545
546 Returns:    nothing
547 */
548
549 static void
550 info_callback(SSL *s, int where, int ret)
551 {
552 where = where;
553 ret = ret;
554 DEBUG(D_tls) debug_printf("SSL info: %s\n", SSL_state_string_long(s));
555 }
556
557
558
559 /*************************************************
560 *                Initialize for DH               *
561 *************************************************/
562
563 /* If dhparam is set, expand it, and load up the parameters for DH encryption.
564
565 Arguments:
566   sctx      The current SSL CTX (inbound or outbound)
567   dhparam   DH parameter file or fixed parameter identity string
568   host      connected host, if client; NULL if server
569
570 Returns:    TRUE if OK (nothing to set up, or setup worked)
571 */
572
573 static BOOL
574 init_dh(SSL_CTX *sctx, uschar *dhparam, const host_item *host)
575 {
576 BIO *bio;
577 DH *dh;
578 uschar *dhexpanded;
579 const char *pem;
580
581 if (!expand_check(dhparam, US"tls_dhparam", &dhexpanded))
582   return FALSE;
583
584 if (!dhexpanded || !*dhexpanded)
585   bio = BIO_new_mem_buf(CS std_dh_prime_default(), -1);
586 else if (dhexpanded[0] == '/')
587   {
588   if (!(bio = BIO_new_file(CS dhexpanded, "r")))
589     {
590     tls_error(string_sprintf("could not read dhparams file %s", dhexpanded),
591           host, US strerror(errno));
592     return FALSE;
593     }
594   }
595 else
596   {
597   if (Ustrcmp(dhexpanded, "none") == 0)
598     {
599     DEBUG(D_tls) debug_printf("Requested no DH parameters.\n");
600     return TRUE;
601     }
602
603   if (!(pem = std_dh_prime_named(dhexpanded)))
604     {
605     tls_error(string_sprintf("Unknown standard DH prime \"%s\"", dhexpanded),
606         host, US strerror(errno));
607     return FALSE;
608     }
609   bio = BIO_new_mem_buf(CS pem, -1);
610   }
611
612 if (!(dh = PEM_read_bio_DHparams(bio, NULL, NULL, NULL)))
613   {
614   BIO_free(bio);
615   tls_error(string_sprintf("Could not read tls_dhparams \"%s\"", dhexpanded),
616       host, NULL);
617   return FALSE;
618   }
619
620 /* Even if it is larger, we silently return success rather than cause things
621  * to fail out, so that a too-large DH will not knock out all TLS; it's a
622  * debatable choice. */
623 if ((8*DH_size(dh)) > tls_dh_max_bits)
624   {
625   DEBUG(D_tls)
626     debug_printf("dhparams file %d bits, is > tls_dh_max_bits limit of %d",
627         8*DH_size(dh), tls_dh_max_bits);
628   }
629 else
630   {
631   SSL_CTX_set_tmp_dh(sctx, dh);
632   DEBUG(D_tls)
633     debug_printf("Diffie-Hellman initialized from %s with %d-bit prime\n",
634       dhexpanded ? dhexpanded : US"default", 8*DH_size(dh));
635   }
636
637 DH_free(dh);
638 BIO_free(bio);
639
640 return TRUE;
641 }
642
643
644
645
646 /*************************************************
647 *               Initialize for ECDH              *
648 *************************************************/
649
650 /* Load parameters for ECDH encryption.
651
652 For now, we stick to NIST P-256 because: it's simple and easy to configure;
653 it avoids any patent issues that might bite redistributors; despite events in
654 the news and concerns over curve choices, we're not cryptographers, we're not
655 pretending to be, and this is "good enough" to be better than no support,
656 protecting against most adversaries.  Given another year or two, there might
657 be sufficient clarity about a "right" way forward to let us make an informed
658 decision, instead of a knee-jerk reaction.
659
660 Longer-term, we should look at supporting both various named curves and
661 external files generated with "openssl ecparam", much as we do for init_dh().
662 We should also support "none" as a value, to explicitly avoid initialisation.
663
664 Patches welcome.
665
666 Arguments:
667   sctx      The current SSL CTX (inbound or outbound)
668   host      connected host, if client; NULL if server
669
670 Returns:    TRUE if OK (nothing to set up, or setup worked)
671 */
672
673 static BOOL
674 init_ecdh(SSL_CTX * sctx, host_item * host)
675 {
676 #ifdef OPENSSL_NO_ECDH
677 return TRUE;
678 #else
679
680 EC_KEY * ecdh;
681 uschar * exp_curve;
682 int nid;
683 BOOL rv;
684
685 if (host)       /* No ECDH setup for clients, only for servers */
686   return TRUE;
687
688 # ifndef EXIM_HAVE_ECDH
689 DEBUG(D_tls)
690   debug_printf("No OpenSSL API to define ECDH parameters, skipping\n");
691 return TRUE;
692 # else
693
694 if (!expand_check(tls_eccurve, US"tls_eccurve", &exp_curve))
695   return FALSE;
696 if (!exp_curve || !*exp_curve)
697   return TRUE;
698
699 #  ifdef EXIM_HAVE_OPENSSL_ECDH_AUTO
700 /* check if new enough library to support auto ECDH temp key parameter selection */
701 if (Ustrcmp(exp_curve, "auto") == 0)
702   {
703   DEBUG(D_tls) debug_printf(
704     "ECDH temp key parameter settings: OpenSSL 1.2+ autoselection\n");
705   SSL_CTX_set_ecdh_auto(sctx, 1);
706   return TRUE;
707   }
708 #  endif
709
710 DEBUG(D_tls) debug_printf("ECDH: curve '%s'\n", exp_curve);
711 if (  (nid = OBJ_sn2nid       (CCS exp_curve)) == NID_undef
712 #   ifdef EXIM_HAVE_OPENSSL_EC_NIST2NID
713    && (nid = EC_curve_nist2nid(CCS exp_curve)) == NID_undef
714 #   endif
715    )
716   {
717   tls_error(string_sprintf("Unknown curve name tls_eccurve '%s'",
718       exp_curve),
719     host, NULL);
720   return FALSE;
721   }
722
723 if (!(ecdh = EC_KEY_new_by_curve_name(nid)))
724   {
725   tls_error(US"Unable to create ec curve", host, NULL);
726   return FALSE;
727   }
728
729 /* The "tmp" in the name here refers to setting a temporary key
730 not to the stability of the interface. */
731
732 if ((rv = SSL_CTX_set_tmp_ecdh(sctx, ecdh) == 0))
733   tls_error(string_sprintf("Error enabling '%s' curve", exp_curve), host, NULL);
734 else
735   DEBUG(D_tls) debug_printf("ECDH: enabled '%s' curve\n", exp_curve);
736
737 EC_KEY_free(ecdh);
738 return !rv;
739
740 # endif /*EXIM_HAVE_ECDH*/
741 #endif /*OPENSSL_NO_ECDH*/
742 }
743
744
745
746
747 #ifndef DISABLE_OCSP
748 /*************************************************
749 *       Load OCSP information into state         *
750 *************************************************/
751
752 /* Called to load the server OCSP response from the given file into memory, once
753 caller has determined this is needed.  Checks validity.  Debugs a message
754 if invalid.
755
756 ASSUMES: single response, for single cert.
757
758 Arguments:
759   sctx            the SSL_CTX* to update
760   cbinfo          various parts of session state
761   expanded        the filename putatively holding an OCSP response
762
763 */
764
765 static void
766 ocsp_load_response(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo, const uschar *expanded)
767 {
768 BIO *bio;
769 OCSP_RESPONSE *resp;
770 OCSP_BASICRESP *basic_response;
771 OCSP_SINGLERESP *single_response;
772 ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
773 X509_STORE *store;
774 unsigned long verify_flags;
775 int status, reason, i;
776
777 cbinfo->u_ocsp.server.file_expanded = string_copy(expanded);
778 if (cbinfo->u_ocsp.server.response)
779   {
780   OCSP_RESPONSE_free(cbinfo->u_ocsp.server.response);
781   cbinfo->u_ocsp.server.response = NULL;
782   }
783
784 bio = BIO_new_file(CS cbinfo->u_ocsp.server.file_expanded, "rb");
785 if (!bio)
786   {
787   DEBUG(D_tls) debug_printf("Failed to open OCSP response file \"%s\"\n",
788       cbinfo->u_ocsp.server.file_expanded);
789   return;
790   }
791
792 resp = d2i_OCSP_RESPONSE_bio(bio, NULL);
793 BIO_free(bio);
794 if (!resp)
795   {
796   DEBUG(D_tls) debug_printf("Error reading OCSP response.\n");
797   return;
798   }
799
800 status = OCSP_response_status(resp);
801 if (status != OCSP_RESPONSE_STATUS_SUCCESSFUL)
802   {
803   DEBUG(D_tls) debug_printf("OCSP response not valid: %s (%d)\n",
804       OCSP_response_status_str(status), status);
805   goto bad;
806   }
807
808 basic_response = OCSP_response_get1_basic(resp);
809 if (!basic_response)
810   {
811   DEBUG(D_tls)
812     debug_printf("OCSP response parse error: unable to extract basic response.\n");
813   goto bad;
814   }
815
816 store = SSL_CTX_get_cert_store(sctx);
817 verify_flags = OCSP_NOVERIFY; /* check sigs, but not purpose */
818
819 /* May need to expose ability to adjust those flags?
820 OCSP_NOSIGS OCSP_NOVERIFY OCSP_NOCHAIN OCSP_NOCHECKS OCSP_NOEXPLICIT
821 OCSP_TRUSTOTHER OCSP_NOINTERN */
822
823 i = OCSP_basic_verify(basic_response, NULL, store, verify_flags);
824 if (i <= 0)
825   {
826   DEBUG(D_tls) {
827     ERR_error_string(ERR_get_error(), ssl_errstring);
828     debug_printf("OCSP response verify failure: %s\n", US ssl_errstring);
829     }
830   goto bad;
831   }
832
833 /* Here's the simplifying assumption: there's only one response, for the
834 one certificate we use, and nothing for anything else in a chain.  If this
835 proves false, we need to extract a cert id from our issued cert
836 (tls_certificate) and use that for OCSP_resp_find_status() (which finds the
837 right cert in the stack and then calls OCSP_single_get0_status()).
838
839 I'm hoping to avoid reworking a bunch more of how we handle state here. */
840 single_response = OCSP_resp_get0(basic_response, 0);
841 if (!single_response)
842   {
843   DEBUG(D_tls)
844     debug_printf("Unable to get first response from OCSP basic response.\n");
845   goto bad;
846   }
847
848 status = OCSP_single_get0_status(single_response, &reason, &rev, &thisupd, &nextupd);
849 if (status != V_OCSP_CERTSTATUS_GOOD)
850   {
851   DEBUG(D_tls) debug_printf("OCSP response bad cert status: %s (%d) %s (%d)\n",
852       OCSP_cert_status_str(status), status,
853       OCSP_crl_reason_str(reason), reason);
854   goto bad;
855   }
856
857 if (!OCSP_check_validity(thisupd, nextupd, EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
858   {
859   DEBUG(D_tls) debug_printf("OCSP status invalid times.\n");
860   goto bad;
861   }
862
863 supply_response:
864   cbinfo->u_ocsp.server.response = resp;
865 return;
866
867 bad:
868   if (running_in_test_harness)
869     {
870     extern char ** environ;
871     uschar ** p;
872     for (p = USS environ; *p != NULL; p++)
873       if (Ustrncmp(*p, "EXIM_TESTHARNESS_DISABLE_OCSPVALIDITYCHECK", 42) == 0)
874         {
875         DEBUG(D_tls) debug_printf("Supplying known bad OCSP response\n");
876         goto supply_response;
877         }
878     }
879 return;
880 }
881 #endif  /*!DISABLE_OCSP*/
882
883
884
885
886 /*************************************************
887 *        Expand key and cert file specs          *
888 *************************************************/
889
890 /* Called once during tls_init and possibly again during TLS setup, for a
891 new context, if Server Name Indication was used and tls_sni was seen in
892 the certificate string.
893
894 Arguments:
895   sctx            the SSL_CTX* to update
896   cbinfo          various parts of session state
897
898 Returns:          OK/DEFER/FAIL
899 */
900
901 static int
902 tls_expand_session_files(SSL_CTX *sctx, tls_ext_ctx_cb *cbinfo)
903 {
904 uschar *expanded;
905
906 if (cbinfo->certificate == NULL)
907   return OK;
908
909 if (Ustrstr(cbinfo->certificate, US"tls_sni") ||
910     Ustrstr(cbinfo->certificate, US"tls_in_sni") ||
911     Ustrstr(cbinfo->certificate, US"tls_out_sni")
912    )
913   reexpand_tls_files_for_sni = TRUE;
914
915 if (!expand_check(cbinfo->certificate, US"tls_certificate", &expanded))
916   return DEFER;
917
918 if (expanded != NULL)
919   {
920   DEBUG(D_tls) debug_printf("tls_certificate file %s\n", expanded);
921   if (!SSL_CTX_use_certificate_chain_file(sctx, CS expanded))
922     return tls_error(string_sprintf(
923       "SSL_CTX_use_certificate_chain_file file=%s", expanded),
924         cbinfo->host, NULL);
925   }
926
927 if (cbinfo->privatekey != NULL &&
928     !expand_check(cbinfo->privatekey, US"tls_privatekey", &expanded))
929   return DEFER;
930
931 /* If expansion was forced to fail, key_expanded will be NULL. If the result
932 of the expansion is an empty string, ignore it also, and assume the private
933 key is in the same file as the certificate. */
934
935 if (expanded && *expanded)
936   {
937   DEBUG(D_tls) debug_printf("tls_privatekey file %s\n", expanded);
938   if (!SSL_CTX_use_PrivateKey_file(sctx, CS expanded, SSL_FILETYPE_PEM))
939     return tls_error(string_sprintf(
940       "SSL_CTX_use_PrivateKey_file file=%s", expanded), cbinfo->host, NULL);
941   }
942
943 #ifndef DISABLE_OCSP
944 if (cbinfo->is_server && cbinfo->u_ocsp.server.file)
945   {
946   if (!expand_check(cbinfo->u_ocsp.server.file, US"tls_ocsp_file", &expanded))
947     return DEFER;
948
949   if (expanded && *expanded)
950     {
951     DEBUG(D_tls) debug_printf("tls_ocsp_file %s\n", expanded);
952     if (  cbinfo->u_ocsp.server.file_expanded
953        && (Ustrcmp(expanded, cbinfo->u_ocsp.server.file_expanded) == 0))
954       {
955       DEBUG(D_tls) debug_printf(" - value unchanged, using existing values\n");
956       }
957     else
958       {
959       ocsp_load_response(sctx, cbinfo, expanded);
960       }
961     }
962   }
963 #endif
964
965 return OK;
966 }
967
968
969
970
971 /*************************************************
972 *            Callback to handle SNI              *
973 *************************************************/
974
975 /* Called when acting as server during the TLS session setup if a Server Name
976 Indication extension was sent by the client.
977
978 API documentation is OpenSSL s_server.c implementation.
979
980 Arguments:
981   s               SSL* of the current session
982   ad              unknown (part of OpenSSL API) (unused)
983   arg             Callback of "our" registered data
984
985 Returns:          SSL_TLSEXT_ERR_{OK,ALERT_WARNING,ALERT_FATAL,NOACK}
986 */
987
988 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
989 static int
990 tls_servername_cb(SSL *s, int *ad ARG_UNUSED, void *arg)
991 {
992 const char *servername = SSL_get_servername(s, TLSEXT_NAMETYPE_host_name);
993 tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
994 int rc;
995 int old_pool = store_pool;
996
997 if (!servername)
998   return SSL_TLSEXT_ERR_OK;
999
1000 DEBUG(D_tls) debug_printf("Received TLS SNI \"%s\"%s\n", servername,
1001     reexpand_tls_files_for_sni ? "" : " (unused for certificate selection)");
1002
1003 /* Make the extension value available for expansion */
1004 store_pool = POOL_PERM;
1005 tls_in.sni = string_copy(US servername);
1006 store_pool = old_pool;
1007
1008 if (!reexpand_tls_files_for_sni)
1009   return SSL_TLSEXT_ERR_OK;
1010
1011 /* Can't find an SSL_CTX_clone() or equivalent, so we do it manually;
1012 not confident that memcpy wouldn't break some internal reference counting.
1013 Especially since there's a references struct member, which would be off. */
1014
1015 if (!(server_sni = SSL_CTX_new(SSLv23_server_method())))
1016   {
1017   ERR_error_string(ERR_get_error(), ssl_errstring);
1018   DEBUG(D_tls) debug_printf("SSL_CTX_new() failed: %s\n", ssl_errstring);
1019   return SSL_TLSEXT_ERR_NOACK;
1020   }
1021
1022 /* Not sure how many of these are actually needed, since SSL object
1023 already exists.  Might even need this selfsame callback, for reneg? */
1024
1025 SSL_CTX_set_info_callback(server_sni, SSL_CTX_get_info_callback(server_ctx));
1026 SSL_CTX_set_mode(server_sni, SSL_CTX_get_mode(server_ctx));
1027 SSL_CTX_set_options(server_sni, SSL_CTX_get_options(server_ctx));
1028 SSL_CTX_set_timeout(server_sni, SSL_CTX_get_timeout(server_ctx));
1029 SSL_CTX_set_tlsext_servername_callback(server_sni, tls_servername_cb);
1030 SSL_CTX_set_tlsext_servername_arg(server_sni, cbinfo);
1031
1032 if (  !init_dh(server_sni, cbinfo->dhparam, NULL)
1033    || !init_ecdh(server_sni, NULL)
1034    )
1035   return SSL_TLSEXT_ERR_NOACK;
1036
1037 if (cbinfo->server_cipher_list)
1038   SSL_CTX_set_cipher_list(server_sni, CS cbinfo->server_cipher_list);
1039 #ifndef DISABLE_OCSP
1040 if (cbinfo->u_ocsp.server.file)
1041   {
1042   SSL_CTX_set_tlsext_status_cb(server_sni, tls_server_stapling_cb);
1043   SSL_CTX_set_tlsext_status_arg(server_sni, cbinfo);
1044   }
1045 #endif
1046
1047 rc = setup_certs(server_sni, tls_verify_certificates, tls_crl, NULL, FALSE, verify_callback_server);
1048 if (rc != OK) return SSL_TLSEXT_ERR_NOACK;
1049
1050 /* do this after setup_certs, because this can require the certs for verifying
1051 OCSP information. */
1052 if ((rc = tls_expand_session_files(server_sni, cbinfo)) != OK)
1053   return SSL_TLSEXT_ERR_NOACK;
1054
1055 DEBUG(D_tls) debug_printf("Switching SSL context.\n");
1056 SSL_set_SSL_CTX(s, server_sni);
1057
1058 return SSL_TLSEXT_ERR_OK;
1059 }
1060 #endif /* EXIM_HAVE_OPENSSL_TLSEXT */
1061
1062
1063
1064
1065 #ifndef DISABLE_OCSP
1066
1067 /*************************************************
1068 *        Callback to handle OCSP Stapling        *
1069 *************************************************/
1070
1071 /* Called when acting as server during the TLS session setup if the client
1072 requests OCSP information with a Certificate Status Request.
1073
1074 Documentation via openssl s_server.c and the Apache patch from the OpenSSL
1075 project.
1076
1077 */
1078
1079 static int
1080 tls_server_stapling_cb(SSL *s, void *arg)
1081 {
1082 const tls_ext_ctx_cb *cbinfo = (tls_ext_ctx_cb *) arg;
1083 uschar *response_der;
1084 int response_der_len;
1085
1086 DEBUG(D_tls)
1087   debug_printf("Received TLS status request (OCSP stapling); %s response\n",
1088     cbinfo->u_ocsp.server.response ? "have" : "lack");
1089
1090 tls_in.ocsp = OCSP_NOT_RESP;
1091 if (!cbinfo->u_ocsp.server.response)
1092   return SSL_TLSEXT_ERR_NOACK;
1093
1094 response_der = NULL;
1095 response_der_len = i2d_OCSP_RESPONSE(cbinfo->u_ocsp.server.response,
1096                       &response_der);
1097 if (response_der_len <= 0)
1098   return SSL_TLSEXT_ERR_NOACK;
1099
1100 SSL_set_tlsext_status_ocsp_resp(server_ssl, response_der, response_der_len);
1101 tls_in.ocsp = OCSP_VFIED;
1102 return SSL_TLSEXT_ERR_OK;
1103 }
1104
1105
1106 static void
1107 time_print(BIO * bp, const char * str, ASN1_GENERALIZEDTIME * time)
1108 {
1109 BIO_printf(bp, "\t%s: ", str);
1110 ASN1_GENERALIZEDTIME_print(bp, time);
1111 BIO_puts(bp, "\n");
1112 }
1113
1114 static int
1115 tls_client_stapling_cb(SSL *s, void *arg)
1116 {
1117 tls_ext_ctx_cb * cbinfo = arg;
1118 const unsigned char * p;
1119 int len;
1120 OCSP_RESPONSE * rsp;
1121 OCSP_BASICRESP * bs;
1122 int i;
1123
1124 DEBUG(D_tls) debug_printf("Received TLS status response (OCSP stapling):");
1125 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
1126 if(!p)
1127  {
1128   /* Expect this when we requested ocsp but got none */
1129   if (cbinfo->u_ocsp.client.verify_required && LOGGING(tls_cipher))
1130     log_write(0, LOG_MAIN, "Received TLS status callback, null content");
1131   else
1132     DEBUG(D_tls) debug_printf(" null\n");
1133   return cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1134  }
1135
1136 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
1137  {
1138   tls_out.ocsp = OCSP_FAILED;
1139   if (LOGGING(tls_cipher))
1140     log_write(0, LOG_MAIN, "Received TLS cert status response, parse error");
1141   else
1142     DEBUG(D_tls) debug_printf(" parse error\n");
1143   return 0;
1144  }
1145
1146 if(!(bs = OCSP_response_get1_basic(rsp)))
1147   {
1148   tls_out.ocsp = OCSP_FAILED;
1149   if (LOGGING(tls_cipher))
1150     log_write(0, LOG_MAIN, "Received TLS cert status response, error parsing response");
1151   else
1152     DEBUG(D_tls) debug_printf(" error parsing response\n");
1153   OCSP_RESPONSE_free(rsp);
1154   return 0;
1155   }
1156
1157 /* We'd check the nonce here if we'd put one in the request. */
1158 /* However that would defeat cacheability on the server so we don't. */
1159
1160 /* This section of code reworked from OpenSSL apps source;
1161    The OpenSSL Project retains copyright:
1162    Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
1163 */
1164   {
1165     BIO * bp = NULL;
1166     int status, reason;
1167     ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
1168
1169     DEBUG(D_tls) bp = BIO_new_fp(stderr, BIO_NOCLOSE);
1170
1171     /*OCSP_RESPONSE_print(bp, rsp, 0);   extreme debug: stapling content */
1172
1173     /* Use the chain that verified the server cert to verify the stapled info */
1174     /* DEBUG(D_tls) x509_store_dump_cert_s_names(cbinfo->u_ocsp.client.verify_store); */
1175
1176     if ((i = OCSP_basic_verify(bs, NULL,
1177               cbinfo->u_ocsp.client.verify_store, 0)) <= 0)
1178       {
1179       tls_out.ocsp = OCSP_FAILED;
1180       if (LOGGING(tls_cipher))
1181         log_write(0, LOG_MAIN, "Received TLS cert status response, itself unverifiable");
1182       BIO_printf(bp, "OCSP response verify failure\n");
1183       ERR_print_errors(bp);
1184       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1185       goto out;
1186       }
1187
1188     BIO_printf(bp, "OCSP response well-formed and signed OK\n");
1189
1190       {
1191       STACK_OF(OCSP_SINGLERESP) * sresp = bs->tbsResponseData->responses;
1192       OCSP_SINGLERESP * single;
1193
1194       if (sk_OCSP_SINGLERESP_num(sresp) != 1)
1195         {
1196         tls_out.ocsp = OCSP_FAILED;
1197         log_write(0, LOG_MAIN, "OCSP stapling "
1198             "with multiple responses not handled");
1199         i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1200         goto out;
1201         }
1202       single = OCSP_resp_get0(bs, 0);
1203       status = OCSP_single_get0_status(single, &reason, &rev,
1204                   &thisupd, &nextupd);
1205       }
1206
1207     DEBUG(D_tls) time_print(bp, "This OCSP Update", thisupd);
1208     DEBUG(D_tls) if(nextupd) time_print(bp, "Next OCSP Update", nextupd);
1209     if (!OCSP_check_validity(thisupd, nextupd,
1210           EXIM_OCSP_SKEW_SECONDS, EXIM_OCSP_MAX_AGE))
1211       {
1212       tls_out.ocsp = OCSP_FAILED;
1213       DEBUG(D_tls) ERR_print_errors(bp);
1214       log_write(0, LOG_MAIN, "Server OSCP dates invalid");
1215       i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1216       }
1217     else
1218       {
1219       DEBUG(D_tls) BIO_printf(bp, "Certificate status: %s\n",
1220                     OCSP_cert_status_str(status));
1221       switch(status)
1222         {
1223         case V_OCSP_CERTSTATUS_GOOD:
1224           tls_out.ocsp = OCSP_VFIED;
1225           i = 1;
1226           break;
1227         case V_OCSP_CERTSTATUS_REVOKED:
1228           tls_out.ocsp = OCSP_FAILED;
1229           log_write(0, LOG_MAIN, "Server certificate revoked%s%s",
1230               reason != -1 ? "; reason: " : "",
1231               reason != -1 ? OCSP_crl_reason_str(reason) : "");
1232           DEBUG(D_tls) time_print(bp, "Revocation Time", rev);
1233           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1234           break;
1235         default:
1236           tls_out.ocsp = OCSP_FAILED;
1237           log_write(0, LOG_MAIN,
1238               "Server certificate status unknown, in OCSP stapling");
1239           i = cbinfo->u_ocsp.client.verify_required ? 0 : 1;
1240           break;
1241         }
1242       }
1243   out:
1244     BIO_free(bp);
1245   }
1246
1247 OCSP_RESPONSE_free(rsp);
1248 return i;
1249 }
1250 #endif  /*!DISABLE_OCSP*/
1251
1252
1253 /*************************************************
1254 *            Initialize for TLS                  *
1255 *************************************************/
1256
1257 /* Called from both server and client code, to do preliminary initialization
1258 of the library.  We allocate and return a context structure.
1259
1260 Arguments:
1261   ctxp            returned SSL context
1262   host            connected host, if client; NULL if server
1263   dhparam         DH parameter file
1264   certificate     certificate file
1265   privatekey      private key
1266   ocsp_file       file of stapling info (server); flag for require ocsp (client)
1267   addr            address if client; NULL if server (for some randomness)
1268   cbp             place to put allocated callback context
1269
1270 Returns:          OK/DEFER/FAIL
1271 */
1272
1273 static int
1274 tls_init(SSL_CTX **ctxp, host_item *host, uschar *dhparam, uschar *certificate,
1275   uschar *privatekey,
1276 #ifndef DISABLE_OCSP
1277   uschar *ocsp_file,
1278 #endif
1279   address_item *addr, tls_ext_ctx_cb ** cbp)
1280 {
1281 long init_options;
1282 int rc;
1283 BOOL okay;
1284 tls_ext_ctx_cb * cbinfo;
1285
1286 cbinfo = store_malloc(sizeof(tls_ext_ctx_cb));
1287 cbinfo->certificate = certificate;
1288 cbinfo->privatekey = privatekey;
1289 #ifndef DISABLE_OCSP
1290 if ((cbinfo->is_server = host==NULL))
1291   {
1292   cbinfo->u_ocsp.server.file = ocsp_file;
1293   cbinfo->u_ocsp.server.file_expanded = NULL;
1294   cbinfo->u_ocsp.server.response = NULL;
1295   }
1296 else
1297   cbinfo->u_ocsp.client.verify_store = NULL;
1298 #endif
1299 cbinfo->dhparam = dhparam;
1300 cbinfo->server_cipher_list = NULL;
1301 cbinfo->host = host;
1302 #ifndef DISABLE_EVENT
1303 cbinfo->event_action = NULL;
1304 #endif
1305
1306 SSL_load_error_strings();          /* basic set up */
1307 OpenSSL_add_ssl_algorithms();
1308
1309 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
1310 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
1311 list of available digests. */
1312 EVP_add_digest(EVP_sha256());
1313 #endif
1314
1315 /* Create a context.
1316 The OpenSSL docs in 1.0.1b have not been updated to clarify TLS variant
1317 negotiation in the different methods; as far as I can tell, the only
1318 *_{server,client}_method which allows negotiation is SSLv23, which exists even
1319 when OpenSSL is built without SSLv2 support.
1320 By disabling with openssl_options, we can let admins re-enable with the
1321 existing knob. */
1322
1323 *ctxp = SSL_CTX_new((host == NULL)?
1324   SSLv23_server_method() : SSLv23_client_method());
1325
1326 if (*ctxp == NULL) return tls_error(US"SSL_CTX_new", host, NULL);
1327
1328 /* It turns out that we need to seed the random number generator this early in
1329 order to get the full complement of ciphers to work. It took me roughly a day
1330 of work to discover this by experiment.
1331
1332 On systems that have /dev/urandom, SSL may automatically seed itself from
1333 there. Otherwise, we have to make something up as best we can. Double check
1334 afterwards. */
1335
1336 if (!RAND_status())
1337   {
1338   randstuff r;
1339   gettimeofday(&r.tv, NULL);
1340   r.p = getpid();
1341
1342   RAND_seed((uschar *)(&r), sizeof(r));
1343   RAND_seed((uschar *)big_buffer, big_buffer_size);
1344   if (addr != NULL) RAND_seed((uschar *)addr, sizeof(addr));
1345
1346   if (!RAND_status())
1347     return tls_error(US"RAND_status", host,
1348       US"unable to seed random number generator");
1349   }
1350
1351 /* Set up the information callback, which outputs if debugging is at a suitable
1352 level. */
1353
1354 DEBUG(D_tls) SSL_CTX_set_info_callback(*ctxp, (void (*)())info_callback);
1355
1356 /* Automatically re-try reads/writes after renegotiation. */
1357 (void) SSL_CTX_set_mode(*ctxp, SSL_MODE_AUTO_RETRY);
1358
1359 /* Apply administrator-supplied work-arounds.
1360 Historically we applied just one requested option,
1361 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, but when bug 994 requested a second, we
1362 moved to an administrator-controlled list of options to specify and
1363 grandfathered in the first one as the default value for "openssl_options".
1364
1365 No OpenSSL version number checks: the options we accept depend upon the
1366 availability of the option value macros from OpenSSL.  */
1367
1368 okay = tls_openssl_options_parse(openssl_options, &init_options);
1369 if (!okay)
1370   return tls_error(US"openssl_options parsing failed", host, NULL);
1371
1372 if (init_options)
1373   {
1374   DEBUG(D_tls) debug_printf("setting SSL CTX options: %#lx\n", init_options);
1375   if (!(SSL_CTX_set_options(*ctxp, init_options)))
1376     return tls_error(string_sprintf(
1377           "SSL_CTX_set_option(%#lx)", init_options), host, NULL);
1378   }
1379 else
1380   DEBUG(D_tls) debug_printf("no SSL CTX options to set\n");
1381
1382 /* Initialize with DH parameters if supplied */
1383 /* Initialize ECDH temp key parameter selection */
1384
1385 if (  !init_dh(*ctxp, dhparam, host)
1386    || !init_ecdh(*ctxp, host)
1387    )
1388   return DEFER;
1389
1390 /* Set up certificate and key (and perhaps OCSP info) */
1391
1392 rc = tls_expand_session_files(*ctxp, cbinfo);
1393 if (rc != OK) return rc;
1394
1395 /* If we need to handle SNI, do so */
1396 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
1397 if (host == NULL)               /* server */
1398   {
1399 # ifndef DISABLE_OCSP
1400   /* We check u_ocsp.server.file, not server.response, because we care about if
1401   the option exists, not what the current expansion might be, as SNI might
1402   change the certificate and OCSP file in use between now and the time the
1403   callback is invoked. */
1404   if (cbinfo->u_ocsp.server.file)
1405     {
1406     SSL_CTX_set_tlsext_status_cb(server_ctx, tls_server_stapling_cb);
1407     SSL_CTX_set_tlsext_status_arg(server_ctx, cbinfo);
1408     }
1409 # endif
1410   /* We always do this, so that $tls_sni is available even if not used in
1411   tls_certificate */
1412   SSL_CTX_set_tlsext_servername_callback(*ctxp, tls_servername_cb);
1413   SSL_CTX_set_tlsext_servername_arg(*ctxp, cbinfo);
1414   }
1415 # ifndef DISABLE_OCSP
1416 else                    /* client */
1417   if(ocsp_file)         /* wanting stapling */
1418     {
1419     if (!(cbinfo->u_ocsp.client.verify_store = X509_STORE_new()))
1420       {
1421       DEBUG(D_tls) debug_printf("failed to create store for stapling verify\n");
1422       return FAIL;
1423       }
1424     SSL_CTX_set_tlsext_status_cb(*ctxp, tls_client_stapling_cb);
1425     SSL_CTX_set_tlsext_status_arg(*ctxp, cbinfo);
1426     }
1427 # endif
1428 #endif
1429
1430 cbinfo->verify_cert_hostnames = NULL;
1431
1432 /* Set up the RSA callback */
1433
1434 SSL_CTX_set_tmp_rsa_callback(*ctxp, rsa_callback);
1435
1436 /* Finally, set the timeout, and we are done */
1437
1438 SSL_CTX_set_timeout(*ctxp, ssl_session_timeout);
1439 DEBUG(D_tls) debug_printf("Initialized TLS\n");
1440
1441 *cbp = cbinfo;
1442
1443 return OK;
1444 }
1445
1446
1447
1448
1449 /*************************************************
1450 *           Get name of cipher in use            *
1451 *************************************************/
1452
1453 /*
1454 Argument:   pointer to an SSL structure for the connection
1455             buffer to use for answer
1456             size of buffer
1457             pointer to number of bits for cipher
1458 Returns:    nothing
1459 */
1460
1461 static void
1462 construct_cipher_name(SSL *ssl, uschar *cipherbuf, int bsize, int *bits)
1463 {
1464 /* With OpenSSL 1.0.0a, this needs to be const but the documentation doesn't
1465 yet reflect that.  It should be a safe change anyway, even 0.9.8 versions have
1466 the accessor functions use const in the prototype. */
1467 const SSL_CIPHER *c;
1468 const uschar *ver;
1469
1470 ver = (const uschar *)SSL_get_version(ssl);
1471
1472 c = (const SSL_CIPHER *) SSL_get_current_cipher(ssl);
1473 SSL_CIPHER_get_bits(c, bits);
1474
1475 string_format(cipherbuf, bsize, "%s:%s:%u", ver,
1476   SSL_CIPHER_get_name(c), *bits);
1477
1478 DEBUG(D_tls) debug_printf("Cipher: %s\n", cipherbuf);
1479 }
1480
1481
1482 static void
1483 peer_cert(SSL * ssl, tls_support * tlsp, uschar * peerdn, unsigned bsize)
1484 {
1485 /*XXX we might consider a list-of-certs variable for the cert chain.
1486 SSL_get_peer_cert_chain(SSL*).  We'd need a new variable type and support
1487 in list-handling functions, also consider the difference between the entire
1488 chain and the elements sent by the peer. */
1489
1490 /* Will have already noted peercert on a verify fail; possibly not the leaf */
1491 if (!tlsp->peercert)
1492   tlsp->peercert = SSL_get_peer_certificate(ssl);
1493 /* Beware anonymous ciphers which lead to server_cert being NULL */
1494 if (tlsp->peercert)
1495   {
1496   X509_NAME_oneline(X509_get_subject_name(tlsp->peercert), CS peerdn, bsize);
1497   peerdn[bsize-1] = '\0';
1498   tlsp->peerdn = peerdn;                /*XXX a static buffer... */
1499   }
1500 else
1501   tlsp->peerdn = NULL;
1502 }
1503
1504
1505
1506
1507
1508 /*************************************************
1509 *        Set up for verifying certificates       *
1510 *************************************************/
1511
1512 /* Called by both client and server startup
1513
1514 Arguments:
1515   sctx          SSL_CTX* to initialise
1516   certs         certs file or NULL
1517   crl           CRL file or NULL
1518   host          NULL in a server; the remote host in a client
1519   optional      TRUE if called from a server for a host in tls_try_verify_hosts;
1520                 otherwise passed as FALSE
1521   cert_vfy_cb   Callback function for certificate verification
1522
1523 Returns:        OK/DEFER/FAIL
1524 */
1525
1526 static int
1527 setup_certs(SSL_CTX *sctx, uschar *certs, uschar *crl, host_item *host, BOOL optional,
1528     int (*cert_vfy_cb)(int, X509_STORE_CTX *) )
1529 {
1530 uschar *expcerts, *expcrl;
1531
1532 if (!expand_check(certs, US"tls_verify_certificates", &expcerts))
1533   return DEFER;
1534
1535 if (expcerts != NULL && *expcerts != '\0')
1536   {
1537   if (Ustrcmp(expcerts, "system") == 0)
1538     {
1539     /* Tell the library to use its compiled-in location for the system default
1540     CA bundle, only */
1541
1542     if (!SSL_CTX_set_default_verify_paths(sctx))
1543       return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1544     }
1545   else
1546     {
1547     struct stat statbuf;
1548
1549     /* Tell the library to use its compiled-in location for the system default
1550     CA bundle. Those given by the exim config are additional to these */
1551
1552     if (!SSL_CTX_set_default_verify_paths(sctx))
1553       return tls_error(US"SSL_CTX_set_default_verify_paths", host, NULL);
1554
1555     if (Ustat(expcerts, &statbuf) < 0)
1556       {
1557       log_write(0, LOG_MAIN|LOG_PANIC,
1558         "failed to stat %s for certificates", expcerts);
1559       return DEFER;
1560       }
1561     else
1562       {
1563       uschar *file, *dir;
1564       if ((statbuf.st_mode & S_IFMT) == S_IFDIR)
1565         { file = NULL; dir = expcerts; }
1566       else
1567         { file = expcerts; dir = NULL; }
1568
1569       /* If a certificate file is empty, the next function fails with an
1570       unhelpful error message. If we skip it, we get the correct behaviour (no
1571       certificates are recognized, but the error message is still misleading (it
1572       says no certificate was supplied.) But this is better. */
1573
1574       if (  (!file || statbuf.st_size > 0)
1575          && !SSL_CTX_load_verify_locations(sctx, CS file, CS dir))
1576         return tls_error(US"SSL_CTX_load_verify_locations", host, NULL);
1577
1578       /* Load the list of CAs for which we will accept certs, for sending
1579       to the client.  This is only for the one-file tls_verify_certificates
1580       variant.
1581       If a list isn't loaded into the server, but
1582       some verify locations are set, the server end appears to make
1583       a wildcard reqest for client certs.
1584       Meanwhile, the client library as deafult behaviour *ignores* the list
1585       we send over the wire - see man SSL_CTX_set_client_cert_cb.
1586       Because of this, and that the dir variant is likely only used for
1587       the public-CA bundle (not for a private CA), not worth fixing.
1588       */
1589       if (file)
1590         {
1591         STACK_OF(X509_NAME) * names = SSL_load_client_CA_file(CS file);
1592
1593         DEBUG(D_tls) debug_printf("Added %d certificate authorities.\n",
1594                                     sk_X509_NAME_num(names));
1595         SSL_CTX_set_client_CA_list(sctx, names);
1596         }
1597       }
1598     }
1599
1600   /* Handle a certificate revocation list. */
1601
1602   #if OPENSSL_VERSION_NUMBER > 0x00907000L
1603
1604   /* This bit of code is now the version supplied by Lars Mainka. (I have
1605    * merely reformatted it into the Exim code style.)
1606
1607    * "From here I changed the code to add support for multiple crl's
1608    * in pem format in one file or to support hashed directory entries in
1609    * pem format instead of a file. This method now uses the library function
1610    * X509_STORE_load_locations to add the CRL location to the SSL context.
1611    * OpenSSL will then handle the verify against CA certs and CRLs by
1612    * itself in the verify callback." */
1613
1614   if (!expand_check(crl, US"tls_crl", &expcrl)) return DEFER;
1615   if (expcrl != NULL && *expcrl != 0)
1616     {
1617     struct stat statbufcrl;
1618     if (Ustat(expcrl, &statbufcrl) < 0)
1619       {
1620       log_write(0, LOG_MAIN|LOG_PANIC,
1621         "failed to stat %s for certificates revocation lists", expcrl);
1622       return DEFER;
1623       }
1624     else
1625       {
1626       /* is it a file or directory? */
1627       uschar *file, *dir;
1628       X509_STORE *cvstore = SSL_CTX_get_cert_store(sctx);
1629       if ((statbufcrl.st_mode & S_IFMT) == S_IFDIR)
1630         {
1631         file = NULL;
1632         dir = expcrl;
1633         DEBUG(D_tls) debug_printf("SSL CRL value is a directory %s\n", dir);
1634         }
1635       else
1636         {
1637         file = expcrl;
1638         dir = NULL;
1639         DEBUG(D_tls) debug_printf("SSL CRL value is a file %s\n", file);
1640         }
1641       if (X509_STORE_load_locations(cvstore, CS file, CS dir) == 0)
1642         return tls_error(US"X509_STORE_load_locations", host, NULL);
1643
1644       /* setting the flags to check against the complete crl chain */
1645
1646       X509_STORE_set_flags(cvstore,
1647         X509_V_FLAG_CRL_CHECK|X509_V_FLAG_CRL_CHECK_ALL);
1648       }
1649     }
1650
1651   #endif  /* OPENSSL_VERSION_NUMBER > 0x00907000L */
1652
1653   /* If verification is optional, don't fail if no certificate */
1654
1655   SSL_CTX_set_verify(sctx,
1656     SSL_VERIFY_PEER | (optional? 0 : SSL_VERIFY_FAIL_IF_NO_PEER_CERT),
1657     cert_vfy_cb);
1658   }
1659
1660 return OK;
1661 }
1662
1663
1664
1665 /*************************************************
1666 *       Start a TLS session in a server          *
1667 *************************************************/
1668
1669 /* This is called when Exim is running as a server, after having received
1670 the STARTTLS command. It must respond to that command, and then negotiate
1671 a TLS session.
1672
1673 Arguments:
1674   require_ciphers   allowed ciphers
1675
1676 Returns:            OK on success
1677                     DEFER for errors before the start of the negotiation
1678                     FAIL for errors during the negotation; the server can't
1679                       continue running.
1680 */
1681
1682 int
1683 tls_server_start(const uschar *require_ciphers)
1684 {
1685 int rc;
1686 uschar *expciphers;
1687 tls_ext_ctx_cb *cbinfo;
1688 static uschar peerdn[256];
1689 static uschar cipherbuf[256];
1690
1691 /* Check for previous activation */
1692
1693 if (tls_in.active >= 0)
1694   {
1695   tls_error(US"STARTTLS received after TLS started", NULL, US"");
1696   smtp_printf("554 Already in TLS\r\n");
1697   return FAIL;
1698   }
1699
1700 /* Initialize the SSL library. If it fails, it will already have logged
1701 the error. */
1702
1703 rc = tls_init(&server_ctx, NULL, tls_dhparam, tls_certificate, tls_privatekey,
1704 #ifndef DISABLE_OCSP
1705     tls_ocsp_file,
1706 #endif
1707     NULL, &server_static_cbinfo);
1708 if (rc != OK) return rc;
1709 cbinfo = server_static_cbinfo;
1710
1711 if (!expand_check(require_ciphers, US"tls_require_ciphers", &expciphers))
1712   return FAIL;
1713
1714 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
1715 were historically separated by underscores. So that I can use either form in my
1716 tests, and also for general convenience, we turn underscores into hyphens here.
1717 */
1718
1719 if (expciphers != NULL)
1720   {
1721   uschar *s = expciphers;
1722   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
1723   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
1724   if (!SSL_CTX_set_cipher_list(server_ctx, CS expciphers))
1725     return tls_error(US"SSL_CTX_set_cipher_list", NULL, NULL);
1726   cbinfo->server_cipher_list = expciphers;
1727   }
1728
1729 /* If this is a host for which certificate verification is mandatory or
1730 optional, set up appropriately. */
1731
1732 tls_in.certificate_verified = FALSE;
1733 #ifdef EXPERIMENTAL_DANE
1734 tls_in.dane_verified = FALSE;
1735 #endif
1736 server_verify_callback_called = FALSE;
1737
1738 if (verify_check_host(&tls_verify_hosts) == OK)
1739   {
1740   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1741                         FALSE, verify_callback_server);
1742   if (rc != OK) return rc;
1743   server_verify_optional = FALSE;
1744   }
1745 else if (verify_check_host(&tls_try_verify_hosts) == OK)
1746   {
1747   rc = setup_certs(server_ctx, tls_verify_certificates, tls_crl, NULL,
1748                         TRUE, verify_callback_server);
1749   if (rc != OK) return rc;
1750   server_verify_optional = TRUE;
1751   }
1752
1753 /* Prepare for new connection */
1754
1755 if ((server_ssl = SSL_new(server_ctx)) == NULL) return tls_error(US"SSL_new", NULL, NULL);
1756
1757 /* Warning: we used to SSL_clear(ssl) here, it was removed.
1758  *
1759  * With the SSL_clear(), we get strange interoperability bugs with
1760  * OpenSSL 1.0.1b and TLS1.1/1.2.  It looks as though this may be a bug in
1761  * OpenSSL itself, as a clear should not lead to inability to follow protocols.
1762  *
1763  * The SSL_clear() call is to let an existing SSL* be reused, typically after
1764  * session shutdown.  In this case, we have a brand new object and there's no
1765  * obvious reason to immediately clear it.  I'm guessing that this was
1766  * originally added because of incomplete initialisation which the clear fixed,
1767  * in some historic release.
1768  */
1769
1770 /* Set context and tell client to go ahead, except in the case of TLS startup
1771 on connection, where outputting anything now upsets the clients and tends to
1772 make them disconnect. We need to have an explicit fflush() here, to force out
1773 the response. Other smtp_printf() calls do not need it, because in non-TLS
1774 mode, the fflush() happens when smtp_getc() is called. */
1775
1776 SSL_set_session_id_context(server_ssl, sid_ctx, Ustrlen(sid_ctx));
1777 if (!tls_in.on_connect)
1778   {
1779   smtp_printf("220 TLS go ahead\r\n");
1780   fflush(smtp_out);
1781   }
1782
1783 /* Now negotiate the TLS session. We put our own timer on it, since it seems
1784 that the OpenSSL library doesn't. */
1785
1786 SSL_set_wfd(server_ssl, fileno(smtp_out));
1787 SSL_set_rfd(server_ssl, fileno(smtp_in));
1788 SSL_set_accept_state(server_ssl);
1789
1790 DEBUG(D_tls) debug_printf("Calling SSL_accept\n");
1791
1792 sigalrm_seen = FALSE;
1793 if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
1794 rc = SSL_accept(server_ssl);
1795 alarm(0);
1796
1797 if (rc <= 0)
1798   {
1799   tls_error(US"SSL_accept", NULL, sigalrm_seen ? US"timed out" : NULL);
1800   if (ERR_get_error() == 0)
1801     log_write(0, LOG_MAIN,
1802         "TLS client disconnected cleanly (rejected our certificate?)");
1803   return FAIL;
1804   }
1805
1806 DEBUG(D_tls) debug_printf("SSL_accept was successful\n");
1807
1808 /* TLS has been set up. Adjust the input functions to read via TLS,
1809 and initialize things. */
1810
1811 peer_cert(server_ssl, &tls_in, peerdn, sizeof(peerdn));
1812
1813 construct_cipher_name(server_ssl, cipherbuf, sizeof(cipherbuf), &tls_in.bits);
1814 tls_in.cipher = cipherbuf;
1815
1816 DEBUG(D_tls)
1817   {
1818   uschar buf[2048];
1819   if (SSL_get_shared_ciphers(server_ssl, CS buf, sizeof(buf)) != NULL)
1820     debug_printf("Shared ciphers: %s\n", buf);
1821   }
1822
1823 /* Record the certificate we presented */
1824   {
1825   X509 * crt = SSL_get_certificate(server_ssl);
1826   tls_in.ourcert = crt ? X509_dup(crt) : NULL;
1827   }
1828
1829 /* Only used by the server-side tls (tls_in), including tls_getc.
1830    Client-side (tls_out) reads (seem to?) go via
1831    smtp_read_response()/ip_recv().
1832    Hence no need to duplicate for _in and _out.
1833  */
1834 ssl_xfer_buffer = store_malloc(ssl_xfer_buffer_size);
1835 ssl_xfer_buffer_lwm = ssl_xfer_buffer_hwm = 0;
1836 ssl_xfer_eof = ssl_xfer_error = 0;
1837
1838 receive_getc = tls_getc;
1839 receive_ungetc = tls_ungetc;
1840 receive_feof = tls_feof;
1841 receive_ferror = tls_ferror;
1842 receive_smtp_buffered = tls_smtp_buffered;
1843
1844 tls_in.active = fileno(smtp_out);
1845 return OK;
1846 }
1847
1848
1849
1850
1851 static int
1852 tls_client_basic_ctx_init(SSL_CTX * ctx,
1853     host_item * host, smtp_transport_options_block * ob, tls_ext_ctx_cb * cbinfo
1854                           )
1855 {
1856 int rc;
1857 /* stick to the old behaviour for compatibility if tls_verify_certificates is
1858    set but both tls_verify_hosts and tls_try_verify_hosts is not set. Check only
1859    the specified host patterns if one of them is defined */
1860
1861 if (  (  !ob->tls_verify_hosts
1862       && (!ob->tls_try_verify_hosts || !*ob->tls_try_verify_hosts)
1863       )
1864    || (verify_check_given_host(&ob->tls_verify_hosts, host) == OK)
1865    )
1866   client_verify_optional = FALSE;
1867 else if (verify_check_given_host(&ob->tls_try_verify_hosts, host) == OK)
1868   client_verify_optional = TRUE;
1869 else
1870   return OK;
1871
1872 if ((rc = setup_certs(ctx, ob->tls_verify_certificates,
1873       ob->tls_crl, host, client_verify_optional, verify_callback_client)) != OK)
1874   return rc;
1875
1876 if (verify_check_given_host(&ob->tls_verify_cert_hostnames, host) == OK)
1877   {
1878   cbinfo->verify_cert_hostnames =
1879 #ifdef SUPPORT_I18N
1880     string_domain_utf8_to_alabel(host->name, NULL);
1881 #else
1882     host->name;
1883 #endif
1884   DEBUG(D_tls) debug_printf("Cert hostname to check: \"%s\"\n",
1885                     cbinfo->verify_cert_hostnames);
1886   }
1887 return OK;
1888 }
1889
1890
1891 #ifdef EXPERIMENTAL_DANE
1892 static int
1893 dane_tlsa_load(SSL * ssl, host_item * host, dns_answer * dnsa)
1894 {
1895 dns_record * rr;
1896 dns_scan dnss;
1897 const char * hostnames[2] = { CS host->name, NULL };
1898 int found = 0;
1899
1900 if (DANESSL_init(ssl, NULL, hostnames) != 1)
1901   return tls_error(US"hostnames load", host, NULL);
1902
1903 for (rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS);
1904      rr;
1905      rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)
1906     ) if (rr->type == T_TLSA)
1907   {
1908   uschar * p = rr->data;
1909   uint8_t usage, selector, mtype;
1910   const char * mdname;
1911
1912   usage = *p++;
1913
1914   /* Only DANE-TA(2) and DANE-EE(3) are supported */
1915   if (usage != 2 && usage != 3) continue;
1916
1917   selector = *p++;
1918   mtype = *p++;
1919
1920   switch (mtype)
1921     {
1922     default: continue;  /* Only match-types 0, 1, 2 are supported */
1923     case 0:  mdname = NULL; break;
1924     case 1:  mdname = "sha256"; break;
1925     case 2:  mdname = "sha512"; break;
1926     }
1927
1928   found++;
1929   switch (DANESSL_add_tlsa(ssl, usage, selector, mdname, p, rr->size - 3))
1930     {
1931     default:
1932     case 0:     /* action not taken */
1933       return tls_error(US"tlsa load", host, NULL);
1934     case 1:     break;
1935     }
1936
1937   tls_out.tlsa_usage |= 1<<usage;
1938   }
1939
1940 if (found)
1941   return OK;
1942
1943 log_write(0, LOG_MAIN, "DANE error: No usable TLSA records");
1944 return DEFER;
1945 }
1946 #endif  /*EXPERIMENTAL_DANE*/
1947
1948
1949
1950 /*************************************************
1951 *    Start a TLS session in a client             *
1952 *************************************************/
1953
1954 /* Called from the smtp transport after STARTTLS has been accepted.
1955
1956 Argument:
1957   fd               the fd of the connection
1958   host             connected host (for messages)
1959   addr             the first address
1960   tb               transport (always smtp)
1961   tlsa_dnsa        tlsa lookup, if DANE, else null
1962
1963 Returns:           OK on success
1964                    FAIL otherwise - note that tls_error() will not give DEFER
1965                      because this is not a server
1966 */
1967
1968 int
1969 tls_client_start(int fd, host_item *host, address_item *addr,
1970   transport_instance *tb
1971 #ifdef EXPERIMENTAL_DANE
1972   , dns_answer * tlsa_dnsa
1973 #endif
1974   )
1975 {
1976 smtp_transport_options_block * ob =
1977   (smtp_transport_options_block *)tb->options_block;
1978 static uschar peerdn[256];
1979 uschar * expciphers;
1980 int rc;
1981 static uschar cipherbuf[256];
1982
1983 #ifndef DISABLE_OCSP
1984 BOOL request_ocsp = FALSE;
1985 BOOL require_ocsp = FALSE;
1986 #endif
1987
1988 #ifdef EXPERIMENTAL_DANE
1989 tls_out.tlsa_usage = 0;
1990 #endif
1991
1992 #ifndef DISABLE_OCSP
1993   {
1994 # ifdef EXPERIMENTAL_DANE
1995   if (  tlsa_dnsa
1996      && ob->hosts_request_ocsp[0] == '*'
1997      && ob->hosts_request_ocsp[1] == '\0'
1998      )
1999     {
2000     /* Unchanged from default.  Use a safer one under DANE */
2001     request_ocsp = TRUE;
2002     ob->hosts_request_ocsp = US"${if or { {= {0}{$tls_out_tlsa_usage}} "
2003                                       "   {= {4}{$tls_out_tlsa_usage}} } "
2004                                  " {*}{}}";
2005     }
2006 # endif
2007
2008   if ((require_ocsp =
2009         verify_check_given_host(&ob->hosts_require_ocsp, host) == OK))
2010     request_ocsp = TRUE;
2011   else
2012 # ifdef EXPERIMENTAL_DANE
2013     if (!request_ocsp)
2014 # endif
2015       request_ocsp =
2016         verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
2017   }
2018 #endif
2019
2020 rc = tls_init(&client_ctx, host, NULL,
2021     ob->tls_certificate, ob->tls_privatekey,
2022 #ifndef DISABLE_OCSP
2023     (void *)(long)request_ocsp,
2024 #endif
2025     addr, &client_static_cbinfo);
2026 if (rc != OK) return rc;
2027
2028 tls_out.certificate_verified = FALSE;
2029 client_verify_callback_called = FALSE;
2030
2031 if (!expand_check(ob->tls_require_ciphers, US"tls_require_ciphers",
2032     &expciphers))
2033   return FAIL;
2034
2035 /* In OpenSSL, cipher components are separated by hyphens. In GnuTLS, they
2036 are separated by underscores. So that I can use either form in my tests, and
2037 also for general convenience, we turn underscores into hyphens here. */
2038
2039 if (expciphers != NULL)
2040   {
2041   uschar *s = expciphers;
2042   while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2043   DEBUG(D_tls) debug_printf("required ciphers: %s\n", expciphers);
2044   if (!SSL_CTX_set_cipher_list(client_ctx, CS expciphers))
2045     return tls_error(US"SSL_CTX_set_cipher_list", host, NULL);
2046   }
2047
2048 #ifdef EXPERIMENTAL_DANE
2049 if (tlsa_dnsa)
2050   {
2051   SSL_CTX_set_verify(client_ctx,
2052     SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
2053     verify_callback_client_dane);
2054
2055   if (!DANESSL_library_init())
2056     return tls_error(US"library init", host, NULL);
2057   if (DANESSL_CTX_init(client_ctx) <= 0)
2058     return tls_error(US"context init", host, NULL);
2059   }
2060 else
2061
2062 #endif
2063
2064   if ((rc = tls_client_basic_ctx_init(client_ctx, host, ob, client_static_cbinfo))
2065       != OK)
2066     return rc;
2067
2068 if ((client_ssl = SSL_new(client_ctx)) == NULL)
2069   return tls_error(US"SSL_new", host, NULL);
2070 SSL_set_session_id_context(client_ssl, sid_ctx, Ustrlen(sid_ctx));
2071 SSL_set_fd(client_ssl, fd);
2072 SSL_set_connect_state(client_ssl);
2073
2074 if (ob->tls_sni)
2075   {
2076   if (!expand_check(ob->tls_sni, US"tls_sni", &tls_out.sni))
2077     return FAIL;
2078   if (tls_out.sni == NULL)
2079     {
2080     DEBUG(D_tls) debug_printf("Setting TLS SNI forced to fail, not sending\n");
2081     }
2082   else if (!Ustrlen(tls_out.sni))
2083     tls_out.sni = NULL;
2084   else
2085     {
2086 #ifdef EXIM_HAVE_OPENSSL_TLSEXT
2087     DEBUG(D_tls) debug_printf("Setting TLS SNI \"%s\"\n", tls_out.sni);
2088     SSL_set_tlsext_host_name(client_ssl, tls_out.sni);
2089 #else
2090     DEBUG(D_tls)
2091       debug_printf("OpenSSL at build-time lacked SNI support, ignoring \"%s\"\n",
2092           tls_out.sni);
2093 #endif
2094     }
2095   }
2096
2097 #ifdef EXPERIMENTAL_DANE
2098 if (tlsa_dnsa)
2099   if ((rc = dane_tlsa_load(client_ssl, host, tlsa_dnsa)) != OK)
2100     return rc;
2101 #endif
2102
2103 #ifndef DISABLE_OCSP
2104 /* Request certificate status at connection-time.  If the server
2105 does OCSP stapling we will get the callback (set in tls_init()) */
2106 # ifdef EXPERIMENTAL_DANE
2107 if (request_ocsp)
2108   {
2109   const uschar * s;
2110   if (  ((s = ob->hosts_require_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
2111      || ((s = ob->hosts_request_ocsp) && Ustrstr(s, US"tls_out_tlsa_usage"))
2112      )
2113     {   /* Re-eval now $tls_out_tlsa_usage is populated.  If
2114         this means we avoid the OCSP request, we wasted the setup
2115         cost in tls_init(). */
2116     require_ocsp = verify_check_given_host(&ob->hosts_require_ocsp, host) == OK;
2117     request_ocsp = require_ocsp
2118       || verify_check_given_host(&ob->hosts_request_ocsp, host) == OK;
2119     }
2120   }
2121 # endif
2122
2123 if (request_ocsp)
2124   {
2125   SSL_set_tlsext_status_type(client_ssl, TLSEXT_STATUSTYPE_ocsp);
2126   client_static_cbinfo->u_ocsp.client.verify_required = require_ocsp;
2127   tls_out.ocsp = OCSP_NOT_RESP;
2128   }
2129 #endif
2130
2131 #ifndef DISABLE_EVENT
2132 client_static_cbinfo->event_action = tb->event_action;
2133 #endif
2134
2135 /* There doesn't seem to be a built-in timeout on connection. */
2136
2137 DEBUG(D_tls) debug_printf("Calling SSL_connect\n");
2138 sigalrm_seen = FALSE;
2139 alarm(ob->command_timeout);
2140 rc = SSL_connect(client_ssl);
2141 alarm(0);
2142
2143 #ifdef EXPERIMENTAL_DANE
2144 if (tlsa_dnsa)
2145   DANESSL_cleanup(client_ssl);
2146 #endif
2147
2148 if (rc <= 0)
2149   return tls_error(US"SSL_connect", host, sigalrm_seen ? US"timed out" : NULL);
2150
2151 DEBUG(D_tls) debug_printf("SSL_connect succeeded\n");
2152
2153 peer_cert(client_ssl, &tls_out, peerdn, sizeof(peerdn));
2154
2155 construct_cipher_name(client_ssl, cipherbuf, sizeof(cipherbuf), &tls_out.bits);
2156 tls_out.cipher = cipherbuf;
2157
2158 /* Record the certificate we presented */
2159   {
2160   X509 * crt = SSL_get_certificate(client_ssl);
2161   tls_out.ourcert = crt ? X509_dup(crt) : NULL;
2162   }
2163
2164 tls_out.active = fd;
2165 return OK;
2166 }
2167
2168
2169
2170
2171
2172 /*************************************************
2173 *            TLS version of getc                 *
2174 *************************************************/
2175
2176 /* This gets the next byte from the TLS input buffer. If the buffer is empty,
2177 it refills the buffer via the SSL reading function.
2178
2179 Arguments:  none
2180 Returns:    the next character or EOF
2181
2182 Only used by the server-side TLS.
2183 */
2184
2185 int
2186 tls_getc(void)
2187 {
2188 if (ssl_xfer_buffer_lwm >= ssl_xfer_buffer_hwm)
2189   {
2190   int error;
2191   int inbytes;
2192
2193   DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", server_ssl,
2194     ssl_xfer_buffer, ssl_xfer_buffer_size);
2195
2196   if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
2197   inbytes = SSL_read(server_ssl, CS ssl_xfer_buffer, ssl_xfer_buffer_size);
2198   error = SSL_get_error(server_ssl, inbytes);
2199   alarm(0);
2200
2201   /* SSL_ERROR_ZERO_RETURN appears to mean that the SSL session has been
2202   closed down, not that the socket itself has been closed down. Revert to
2203   non-SSL handling. */
2204
2205   if (error == SSL_ERROR_ZERO_RETURN)
2206     {
2207     DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2208
2209     receive_getc = smtp_getc;
2210     receive_ungetc = smtp_ungetc;
2211     receive_feof = smtp_feof;
2212     receive_ferror = smtp_ferror;
2213     receive_smtp_buffered = smtp_buffered;
2214
2215     SSL_free(server_ssl);
2216     server_ssl = NULL;
2217     tls_in.active = -1;
2218     tls_in.bits = 0;
2219     tls_in.cipher = NULL;
2220     tls_in.peerdn = NULL;
2221     tls_in.sni = NULL;
2222
2223     return smtp_getc();
2224     }
2225
2226   /* Handle genuine errors */
2227
2228   else if (error == SSL_ERROR_SSL)
2229     {
2230     ERR_error_string(ERR_get_error(), ssl_errstring);
2231     log_write(0, LOG_MAIN, "TLS error (SSL_read): %s", ssl_errstring);
2232     ssl_xfer_error = 1;
2233     return EOF;
2234     }
2235
2236   else if (error != SSL_ERROR_NONE)
2237     {
2238     DEBUG(D_tls) debug_printf("Got SSL error %d\n", error);
2239     ssl_xfer_error = 1;
2240     return EOF;
2241     }
2242
2243 #ifndef DISABLE_DKIM
2244   dkim_exim_verify_feed(ssl_xfer_buffer, inbytes);
2245 #endif
2246   ssl_xfer_buffer_hwm = inbytes;
2247   ssl_xfer_buffer_lwm = 0;
2248   }
2249
2250 /* Something in the buffer; return next uschar */
2251
2252 return ssl_xfer_buffer[ssl_xfer_buffer_lwm++];
2253 }
2254
2255
2256
2257 /*************************************************
2258 *          Read bytes from TLS channel           *
2259 *************************************************/
2260
2261 /*
2262 Arguments:
2263   buff      buffer of data
2264   len       size of buffer
2265
2266 Returns:    the number of bytes read
2267             -1 after a failed read
2268
2269 Only used by the client-side TLS.
2270 */
2271
2272 int
2273 tls_read(BOOL is_server, uschar *buff, size_t len)
2274 {
2275 SSL *ssl = is_server ? server_ssl : client_ssl;
2276 int inbytes;
2277 int error;
2278
2279 DEBUG(D_tls) debug_printf("Calling SSL_read(%p, %p, %u)\n", ssl,
2280   buff, (unsigned int)len);
2281
2282 inbytes = SSL_read(ssl, CS buff, len);
2283 error = SSL_get_error(ssl, inbytes);
2284
2285 if (error == SSL_ERROR_ZERO_RETURN)
2286   {
2287   DEBUG(D_tls) debug_printf("Got SSL_ERROR_ZERO_RETURN\n");
2288   return -1;
2289   }
2290 else if (error != SSL_ERROR_NONE)
2291   {
2292   return -1;
2293   }
2294
2295 return inbytes;
2296 }
2297
2298
2299
2300
2301
2302 /*************************************************
2303 *         Write bytes down TLS channel           *
2304 *************************************************/
2305
2306 /*
2307 Arguments:
2308   is_server channel specifier
2309   buff      buffer of data
2310   len       number of bytes
2311
2312 Returns:    the number of bytes after a successful write,
2313             -1 after a failed write
2314
2315 Used by both server-side and client-side TLS.
2316 */
2317
2318 int
2319 tls_write(BOOL is_server, const uschar *buff, size_t len)
2320 {
2321 int outbytes;
2322 int error;
2323 int left = len;
2324 SSL *ssl = is_server ? server_ssl : client_ssl;
2325
2326 DEBUG(D_tls) debug_printf("tls_do_write(%p, %d)\n", buff, left);
2327 while (left > 0)
2328   {
2329   DEBUG(D_tls) debug_printf("SSL_write(SSL, %p, %d)\n", buff, left);
2330   outbytes = SSL_write(ssl, CS buff, left);
2331   error = SSL_get_error(ssl, outbytes);
2332   DEBUG(D_tls) debug_printf("outbytes=%d error=%d\n", outbytes, error);
2333   switch (error)
2334     {
2335     case SSL_ERROR_SSL:
2336     ERR_error_string(ERR_get_error(), ssl_errstring);
2337     log_write(0, LOG_MAIN, "TLS error (SSL_write): %s", ssl_errstring);
2338     return -1;
2339
2340     case SSL_ERROR_NONE:
2341     left -= outbytes;
2342     buff += outbytes;
2343     break;
2344
2345     case SSL_ERROR_ZERO_RETURN:
2346     log_write(0, LOG_MAIN, "SSL channel closed on write");
2347     return -1;
2348
2349     case SSL_ERROR_SYSCALL:
2350     log_write(0, LOG_MAIN, "SSL_write: (from %s) syscall: %s",
2351       sender_fullhost ? sender_fullhost : US"<unknown>",
2352       strerror(errno));
2353
2354     default:
2355     log_write(0, LOG_MAIN, "SSL_write error %d", error);
2356     return -1;
2357     }
2358   }
2359 return len;
2360 }
2361
2362
2363
2364 /*************************************************
2365 *         Close down a TLS session               *
2366 *************************************************/
2367
2368 /* This is also called from within a delivery subprocess forked from the
2369 daemon, to shut down the TLS library, without actually doing a shutdown (which
2370 would tamper with the SSL session in the parent process).
2371
2372 Arguments:   TRUE if SSL_shutdown is to be called
2373 Returns:     nothing
2374
2375 Used by both server-side and client-side TLS.
2376 */
2377
2378 void
2379 tls_close(BOOL is_server, BOOL shutdown)
2380 {
2381 SSL **sslp = is_server ? &server_ssl : &client_ssl;
2382 int *fdp = is_server ? &tls_in.active : &tls_out.active;
2383
2384 if (*fdp < 0) return;  /* TLS was not active */
2385
2386 if (shutdown)
2387   {
2388   DEBUG(D_tls) debug_printf("tls_close(): shutting down SSL\n");
2389   SSL_shutdown(*sslp);
2390   }
2391
2392 SSL_free(*sslp);
2393 *sslp = NULL;
2394
2395 *fdp = -1;
2396 }
2397
2398
2399
2400
2401 /*************************************************
2402 *  Let tls_require_ciphers be checked at startup *
2403 *************************************************/
2404
2405 /* The tls_require_ciphers option, if set, must be something which the
2406 library can parse.
2407
2408 Returns:     NULL on success, or error message
2409 */
2410
2411 uschar *
2412 tls_validate_require_cipher(void)
2413 {
2414 SSL_CTX *ctx;
2415 uschar *s, *expciphers, *err;
2416
2417 /* this duplicates from tls_init(), we need a better "init just global
2418 state, for no specific purpose" singleton function of our own */
2419
2420 SSL_load_error_strings();
2421 OpenSSL_add_ssl_algorithms();
2422 #if (OPENSSL_VERSION_NUMBER >= 0x0090800fL) && !defined(OPENSSL_NO_SHA256)
2423 /* SHA256 is becoming ever more popular. This makes sure it gets added to the
2424 list of available digests. */
2425 EVP_add_digest(EVP_sha256());
2426 #endif
2427
2428 if (!(tls_require_ciphers && *tls_require_ciphers))
2429   return NULL;
2430
2431 if (!expand_check(tls_require_ciphers, US"tls_require_ciphers", &expciphers))
2432   return US"failed to expand tls_require_ciphers";
2433
2434 if (!(expciphers && *expciphers))
2435   return NULL;
2436
2437 /* normalisation ripped from above */
2438 s = expciphers;
2439 while (*s != 0) { if (*s == '_') *s = '-'; s++; }
2440
2441 err = NULL;
2442
2443 ctx = SSL_CTX_new(SSLv23_server_method());
2444 if (!ctx)
2445   {
2446   ERR_error_string(ERR_get_error(), ssl_errstring);
2447   return string_sprintf("SSL_CTX_new() failed: %s", ssl_errstring);
2448   }
2449
2450 DEBUG(D_tls)
2451   debug_printf("tls_require_ciphers expands to \"%s\"\n", expciphers);
2452
2453 if (!SSL_CTX_set_cipher_list(ctx, CS expciphers))
2454   {
2455   ERR_error_string(ERR_get_error(), ssl_errstring);
2456   err = string_sprintf("SSL_CTX_set_cipher_list(%s) failed", expciphers);
2457   }
2458
2459 SSL_CTX_free(ctx);
2460
2461 return err;
2462 }
2463
2464
2465
2466
2467 /*************************************************
2468 *         Report the library versions.           *
2469 *************************************************/
2470
2471 /* There have historically been some issues with binary compatibility in
2472 OpenSSL libraries; if Exim (like many other applications) is built against
2473 one version of OpenSSL but the run-time linker picks up another version,
2474 it can result in serious failures, including crashing with a SIGSEGV.  So
2475 report the version found by the compiler and the run-time version.
2476
2477 Note: some OS vendors backport security fixes without changing the version
2478 number/string, and the version date remains unchanged.  The _build_ date
2479 will change, so we can more usefully assist with version diagnosis by also
2480 reporting the build date.
2481
2482 Arguments:   a FILE* to print the results to
2483 Returns:     nothing
2484 */
2485
2486 void
2487 tls_version_report(FILE *f)
2488 {
2489 fprintf(f, "Library version: OpenSSL: Compile: %s\n"
2490            "                          Runtime: %s\n"
2491            "                                 : %s\n",
2492            OPENSSL_VERSION_TEXT,
2493            SSLeay_version(SSLEAY_VERSION),
2494            SSLeay_version(SSLEAY_BUILT_ON));
2495 /* third line is 38 characters for the %s and the line is 73 chars long;
2496 the OpenSSL output includes a "built on: " prefix already. */
2497 }
2498
2499
2500
2501
2502 /*************************************************
2503 *            Random number generation            *
2504 *************************************************/
2505
2506 /* Pseudo-random number generation.  The result is not expected to be
2507 cryptographically strong but not so weak that someone will shoot themselves
2508 in the foot using it as a nonce in input in some email header scheme or
2509 whatever weirdness they'll twist this into.  The result should handle fork()
2510 and avoid repeating sequences.  OpenSSL handles that for us.
2511
2512 Arguments:
2513   max       range maximum
2514 Returns     a random number in range [0, max-1]
2515 */
2516
2517 int
2518 vaguely_random_number(int max)
2519 {
2520 unsigned int r;
2521 int i, needed_len;
2522 static pid_t pidlast = 0;
2523 pid_t pidnow;
2524 uschar *p;
2525 uschar smallbuf[sizeof(r)];
2526
2527 if (max <= 1)
2528   return 0;
2529
2530 pidnow = getpid();
2531 if (pidnow != pidlast)
2532   {
2533   /* Although OpenSSL documents that "OpenSSL makes sure that the PRNG state
2534   is unique for each thread", this doesn't apparently apply across processes,
2535   so our own warning from vaguely_random_number_fallback() applies here too.
2536   Fix per PostgreSQL. */
2537   if (pidlast != 0)
2538     RAND_cleanup();
2539   pidlast = pidnow;
2540   }
2541
2542 /* OpenSSL auto-seeds from /dev/random, etc, but this a double-check. */
2543 if (!RAND_status())
2544   {
2545   randstuff r;
2546   gettimeofday(&r.tv, NULL);
2547   r.p = getpid();
2548
2549   RAND_seed((uschar *)(&r), sizeof(r));
2550   }
2551 /* We're after pseudo-random, not random; if we still don't have enough data
2552 in the internal PRNG then our options are limited.  We could sleep and hope
2553 for entropy to come along (prayer technique) but if the system is so depleted
2554 in the first place then something is likely to just keep taking it.  Instead,
2555 we'll just take whatever little bit of pseudo-random we can still manage to
2556 get. */
2557
2558 needed_len = sizeof(r);
2559 /* Don't take 8 times more entropy than needed if int is 8 octets and we were
2560 asked for a number less than 10. */
2561 for (r = max, i = 0; r; ++i)
2562   r >>= 1;
2563 i = (i + 7) / 8;
2564 if (i < needed_len)
2565   needed_len = i;
2566
2567 /* We do not care if crypto-strong */
2568 i = RAND_pseudo_bytes(smallbuf, needed_len);
2569 if (i < 0)
2570   {
2571   DEBUG(D_all)
2572     debug_printf("OpenSSL RAND_pseudo_bytes() not supported by RAND method, using fallback.\n");
2573   return vaguely_random_number_fallback(max);
2574   }
2575
2576 r = 0;
2577 for (p = smallbuf; needed_len; --needed_len, ++p)
2578   {
2579   r *= 256;
2580   r += *p;
2581   }
2582
2583 /* We don't particularly care about weighted results; if someone wants
2584 smooth distribution and cares enough then they should submit a patch then. */
2585 return r % max;
2586 }
2587
2588
2589
2590
2591 /*************************************************
2592 *        OpenSSL option parse                    *
2593 *************************************************/
2594
2595 /* Parse one option for tls_openssl_options_parse below
2596
2597 Arguments:
2598   name    one option name
2599   value   place to store a value for it
2600 Returns   success or failure in parsing
2601 */
2602
2603 struct exim_openssl_option {
2604   uschar *name;
2605   long    value;
2606 };
2607 /* We could use a macro to expand, but we need the ifdef and not all the
2608 options document which version they were introduced in.  Policylet: include
2609 all options unless explicitly for DTLS, let the administrator choose which
2610 to apply.
2611
2612 This list is current as of:
2613   ==>  1.0.1b  <==
2614 Plus SSL_OP_SAFARI_ECDHE_ECDSA_BUG from 2013-June patch/discussion on openssl-dev
2615 */
2616 static struct exim_openssl_option exim_openssl_options[] = {
2617 /* KEEP SORTED ALPHABETICALLY! */
2618 #ifdef SSL_OP_ALL
2619   { US"all", SSL_OP_ALL },
2620 #endif
2621 #ifdef SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
2622   { US"allow_unsafe_legacy_renegotiation", SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION },
2623 #endif
2624 #ifdef SSL_OP_CIPHER_SERVER_PREFERENCE
2625   { US"cipher_server_preference", SSL_OP_CIPHER_SERVER_PREFERENCE },
2626 #endif
2627 #ifdef SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
2628   { US"dont_insert_empty_fragments", SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS },
2629 #endif
2630 #ifdef SSL_OP_EPHEMERAL_RSA
2631   { US"ephemeral_rsa", SSL_OP_EPHEMERAL_RSA },
2632 #endif
2633 #ifdef SSL_OP_LEGACY_SERVER_CONNECT
2634   { US"legacy_server_connect", SSL_OP_LEGACY_SERVER_CONNECT },
2635 #endif
2636 #ifdef SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER
2637   { US"microsoft_big_sslv3_buffer", SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER },
2638 #endif
2639 #ifdef SSL_OP_MICROSOFT_SESS_ID_BUG
2640   { US"microsoft_sess_id_bug", SSL_OP_MICROSOFT_SESS_ID_BUG },
2641 #endif
2642 #ifdef SSL_OP_MSIE_SSLV2_RSA_PADDING
2643   { US"msie_sslv2_rsa_padding", SSL_OP_MSIE_SSLV2_RSA_PADDING },
2644 #endif
2645 #ifdef SSL_OP_NETSCAPE_CHALLENGE_BUG
2646   { US"netscape_challenge_bug", SSL_OP_NETSCAPE_CHALLENGE_BUG },
2647 #endif
2648 #ifdef SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
2649   { US"netscape_reuse_cipher_change_bug", SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG },
2650 #endif
2651 #ifdef SSL_OP_NO_COMPRESSION
2652   { US"no_compression", SSL_OP_NO_COMPRESSION },
2653 #endif
2654 #ifdef SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
2655   { US"no_session_resumption_on_renegotiation", SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION },
2656 #endif
2657 #ifdef SSL_OP_NO_SSLv2
2658   { US"no_sslv2", SSL_OP_NO_SSLv2 },
2659 #endif
2660 #ifdef SSL_OP_NO_SSLv3
2661   { US"no_sslv3", SSL_OP_NO_SSLv3 },
2662 #endif
2663 #ifdef SSL_OP_NO_TICKET
2664   { US"no_ticket", SSL_OP_NO_TICKET },
2665 #endif
2666 #ifdef SSL_OP_NO_TLSv1
2667   { US"no_tlsv1", SSL_OP_NO_TLSv1 },
2668 #endif
2669 #ifdef SSL_OP_NO_TLSv1_1
2670 #if SSL_OP_NO_TLSv1_1 == 0x00000400L
2671   /* Error in chosen value in 1.0.1a; see first item in CHANGES for 1.0.1b */
2672 #warning OpenSSL 1.0.1a uses a bad value for SSL_OP_NO_TLSv1_1, ignoring
2673 #else
2674   { US"no_tlsv1_1", SSL_OP_NO_TLSv1_1 },
2675 #endif
2676 #endif
2677 #ifdef SSL_OP_NO_TLSv1_2
2678   { US"no_tlsv1_2", SSL_OP_NO_TLSv1_2 },
2679 #endif
2680 #ifdef SSL_OP_SAFARI_ECDHE_ECDSA_BUG
2681   { US"safari_ecdhe_ecdsa_bug", SSL_OP_SAFARI_ECDHE_ECDSA_BUG },
2682 #endif
2683 #ifdef SSL_OP_SINGLE_DH_USE
2684   { US"single_dh_use", SSL_OP_SINGLE_DH_USE },
2685 #endif
2686 #ifdef SSL_OP_SINGLE_ECDH_USE
2687   { US"single_ecdh_use", SSL_OP_SINGLE_ECDH_USE },
2688 #endif
2689 #ifdef SSL_OP_SSLEAY_080_CLIENT_DH_BUG
2690   { US"ssleay_080_client_dh_bug", SSL_OP_SSLEAY_080_CLIENT_DH_BUG },
2691 #endif
2692 #ifdef SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG
2693   { US"sslref2_reuse_cert_type_bug", SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG },
2694 #endif
2695 #ifdef SSL_OP_TLS_BLOCK_PADDING_BUG
2696   { US"tls_block_padding_bug", SSL_OP_TLS_BLOCK_PADDING_BUG },
2697 #endif
2698 #ifdef SSL_OP_TLS_D5_BUG
2699   { US"tls_d5_bug", SSL_OP_TLS_D5_BUG },
2700 #endif
2701 #ifdef SSL_OP_TLS_ROLLBACK_BUG
2702   { US"tls_rollback_bug", SSL_OP_TLS_ROLLBACK_BUG },
2703 #endif
2704 };
2705 static int exim_openssl_options_size =
2706   sizeof(exim_openssl_options)/sizeof(struct exim_openssl_option);
2707
2708
2709 static BOOL
2710 tls_openssl_one_option_parse(uschar *name, long *value)
2711 {
2712 int first = 0;
2713 int last = exim_openssl_options_size;
2714 while (last > first)
2715   {
2716   int middle = (first + last)/2;
2717   int c = Ustrcmp(name, exim_openssl_options[middle].name);
2718   if (c == 0)
2719     {
2720     *value = exim_openssl_options[middle].value;
2721     return TRUE;
2722     }
2723   else if (c > 0)
2724     first = middle + 1;
2725   else
2726     last = middle;
2727   }
2728 return FALSE;
2729 }
2730
2731
2732
2733
2734 /*************************************************
2735 *        OpenSSL option parsing logic            *
2736 *************************************************/
2737
2738 /* OpenSSL has a number of compatibility options which an administrator might
2739 reasonably wish to set.  Interpret a list similarly to decode_bits(), so that
2740 we look like log_selector.
2741
2742 Arguments:
2743   option_spec  the administrator-supplied string of options
2744   results      ptr to long storage for the options bitmap
2745 Returns        success or failure
2746 */
2747
2748 BOOL
2749 tls_openssl_options_parse(uschar *option_spec, long *results)
2750 {
2751 long result, item;
2752 uschar *s, *end;
2753 uschar keep_c;
2754 BOOL adding, item_parsed;
2755
2756 result = 0L;
2757 /* Prior to 4.80 we or'd in SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS; removed
2758  * from default because it increases BEAST susceptibility. */
2759 #ifdef SSL_OP_NO_SSLv2
2760 result |= SSL_OP_NO_SSLv2;
2761 #endif
2762
2763 if (option_spec == NULL)
2764   {
2765   *results = result;
2766   return TRUE;
2767   }
2768
2769 for (s=option_spec; *s != '\0'; /**/)
2770   {
2771   while (isspace(*s)) ++s;
2772   if (*s == '\0')
2773     break;
2774   if (*s != '+' && *s != '-')
2775     {
2776     DEBUG(D_tls) debug_printf("malformed openssl option setting: "
2777         "+ or - expected but found \"%s\"\n", s);
2778     return FALSE;
2779     }
2780   adding = *s++ == '+';
2781   for (end = s; (*end != '\0') && !isspace(*end); ++end) /**/ ;
2782   keep_c = *end;
2783   *end = '\0';
2784   item_parsed = tls_openssl_one_option_parse(s, &item);
2785   if (!item_parsed)
2786     {
2787     DEBUG(D_tls) debug_printf("openssl option setting unrecognised: \"%s\"\n", s);
2788     return FALSE;
2789     }
2790   DEBUG(D_tls) debug_printf("openssl option, %s from %lx: %lx (%s)\n",
2791       adding ? "adding" : "removing", result, item, s);
2792   if (adding)
2793     result |= item;
2794   else
2795     result &= ~item;
2796   *end = keep_c;
2797   s = end;
2798   }
2799
2800 *results = result;
2801 return TRUE;
2802 }
2803
2804 /* vi: aw ai sw=2
2805 */
2806 /* End of tls-openssl.c */